springSecurity入门使用

最新推荐文章于 2023-02-06 19:38:24 发布
最新推荐文章于 2023-02-06 19:38:24 发布
阅读量325 收藏
点赞数
分类专栏: web项目 maven ssm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zwpppppp/article/details/99062289
版权

springSercurity主要用于认证授权的,就是检验用户密码是是否正确,是否有权限操作某资源这样子,之前没接触过,目前只会用简单的控制权限,里面核心类,什么的都不太了解,以下为我了解的基本入门使用

1,导入依赖,spring-security-taglibs是用于前端页面标签的

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>${spring.security.version}</version>
        </dependency>

2,在web.xml中配置springSecurity的过滤器,并且让ServletContext容器加载配置文件,这里过滤器名字必须为springSecurityFilterChain,底层源码原因

	<context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:applicationContext.xml,classpath:spring_security.xml</param-value>
    </context-param>



    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

3,配置文件spring_security.xml,配置文件主要包括两部分

过滤器链配置,主要包括要拦截什么资源,
能操作该拦截资源的权限信息
认证方式,表单和弹出提示框形式
或者自己指定一个登录页面
认证管理器,包括账户名密码,和其具有的权限

不连接数据库,不指定自己的登录页面,单纯将用户信息存放在配置文件

   <!--配置静态资源不过滤,登录页不过滤这样子-->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/pages/loginFailure.jsp" security="none"/>
    <securtiy:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>

    <security:http auto-config="true" use-expressions="true">
    <!--当前所有资源都需要过滤,只有有role_user的权限才能访问-->
        <security:intercept-url  pattern="/**" access="hasRole('ROLE_USER')"/>
        <!--配置这两个资源可以被任何人访问,与上面效果相同-->
        <!--<security:intercept-url  pattern="/index.jsp" access="permitAll()"/>
        <security:intercept-url  pattern="/pages/error.jsp" access="permitAll()"/>
-->
        <!---关闭防CSRF攻击,跨站攻击-->
        <security:csrf disabled="true"/>
    </security:http>


    <!--将用户名和密码存在配置文件中,实际开发中不怎么用-{noop},一种加密方式,若是我们指定加密方式就不需要再这写了->
    <security:authentication-manager>
        <security:authentication-provider>
            <security:user-service>
                <security:user name="root" password="{noop}root" authorities="ROLE_USER"/>
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>

配置使用自己的登录页面,以及连接数据库中用户

拦截器链配置,以及认证管理器

<!--过滤静态资源-->
    <security:http pattern="/pages/login.jsp" security="none"/>
    <security:http pattern="/pages/loginFailure.jsp" security="none"/>
    <securtiy:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>

    <!--配置过滤器链,包括要拦截的资源,什么角色能访问资源,认证方式,登录页面-->
    <!--auto-config="true"框架提供默认登录页面,当配置自己的登录页面之后,使用自己的
    	use-expressions="false"	是否使用SPEL表达式-->
    <security:http auto-config="true" use-expressions="true">
        <!-- pattern表示拦截的路径,/**表示拦截所有的访问,access表示什么角色能访问,这里是必须有user_admin角色才能访问-->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')"/>
        <!--定义自己的登录页面-->
        <security:form-login
       		 <!--登录页面-->
            login-page="/pages/login.jsp"
            <!--登录调转的路径-->
            login-processing-url="/login"
            <!--登录成功跳转的页面-->
            default-target-url="/index.jsp"
            always-use-default-target="true"
            <!--登录失败调转的页面-->
            authentication-failure-url="/pages/loginFailure.jsp"
            />
        <!--关闭跨域请求,不关闭会报错403-->
        <security:csrf disabled="true"/>

        <!--退出-->
        <security:logout
                logout-url="/logout.do"
                logout-success-url="/pages/login.jsp"
                invalidate-session="true"
        />


    </security:http>


<!--配置认证管理器,认证信息,包括用户名,密码,以及权限,
    这里会默认找UserDetailsService进行处理,让我们自己的service实现这个接口-->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

<!--加密方式-->
 <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
当有登录请求之后springSecurity会默调用UserDetialService,一个接口中loadUserByUsername方法来处理账认证信息,我们需要重写这个方法,那么让我们service接口继承UserDetialService,在service实现类中重写这个方法即可,这个方法返回一个UserDetails对象
public interface UserDetailsService {
	UserDetails loadUserByUsername(String username) 
	throws UsernameNotFoundException;
}
UserDetails也是一个接口,里面有封装了用户登录的用户信息,那么我们要让我们从数据库中查询的对象和UserDetials产生关系,UserDetials是一个接口,我们又不能直接创建,有两种解决方案,

(1),创建UserDetials的子类,将我们从数据库中查到的信息封装到UserDetials子类
(2),让我们创建的bean实现UserDetials,但是这样及其麻烦

![在这里插入图片描述](https://img-blog.csdnimg.cn/20190811132005439.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3p3cHBwcHBw,size_16,color_FFFFFF,t_7

UserDetials实现类,这里只有一个User子类可用,点进去可以发现,里面提供所有属性getXXX,setXXX方法,还有两个构造函数,我们直接创建一个user对象,将我们查询到的用户信息封装进去即可

在这里插入图片描述

public class User implements UserDetails, CredentialsContainer {

	private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

	// ~ Instance fields
	// ================================================================================================
	private String password;
	private final String username;
	private final Set<GrantedAuthority> authorities;
	private final boolean accountNonExpired;
	private final boolean accountNonLocked;
	private final boolean credentialsNonExpired;
	private final boolean enabled;

	// ~ Constructors
	// ===================================================================================================

	/**
	 * Calls the more complex constructor with all boolean arguments set to {@code true}.
	 */
	public User(String username, String password,
			Collection<? extends GrantedAuthority> authorities) {
		this(username, password, true, true, true, true, authorities);
	}
public User(String username, String password, boolean enabled,
			boolean accountNonExpired, boolean credentialsNonExpired,
			boolean accountNonLocked, Collection<? extends GrantedAuthority> authorities) {

		if (((username == null) || "".equals(username)) || (password == null)) {
			throw new IllegalArgumentException(
					"Cannot pass null or empty values to constructor");
		}

		this.username = username;
		this.password = password;
		this.enabled = enabled;
		this.accountNonExpired = accountNonExpired;
		this.credentialsNonExpired = credentialsNonExpired;
		this.accountNonLocked = accountNonLocked;
		this.authorities = Collections.unmodifiableSet(sortAuthorities(authorities));
	}

	// ~ Methods
	// ========================================================================================================

	public Collection<GrantedAuthority> getAuthorities() {
		return authorities;
	}
}
封装private final Set authorities属性

看User里面直接有一个getAuthorities()方法,我们可以模拟一下,在自己的service里面定义一个public List<GrantedAuthority> getAuthority(List<Role> roles)方法,

  @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo=userDao.findByName(username);
        User user=new User(userInfo.getUserName(),userInfo.getPassWord(),
                userInfo.getStatus()==0?false:true,true,true,true,
                this.getAuthority(userInfo.getRoles()));
        return user;
    }


    public List<GrantedAuthority> getAuthority(List<Role> roles){
        List<GrantedAuthority> list=new ArrayList<>();
        for (Role role : roles) {
            list.add(new 
            /*这里不加role也可,可以直接role.getRoleName()
            ,但是我担心大小写有问题就直接转换一些了*/
            SimpleGrantedAuthority("ROLE_"+role.getRoleName().toUpperCase()));
        }
        return list;
    }

4,配置<security:authentication-provider user-service-ref=“userService”>,userService为自己的实现类

这样大概就完成配置了,可以控制基本权限了

============================================================
细节
1,加密方式BCryptPasswordEncoder,好像要比MD5更安全
(1),登录直接配置一个bean,注入就好了

<security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
</security:authentication-manager>


<bean id="passwordEncoder" 
    class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

(2),添加的时候要对密码加密再添加不然登录的时候密码不正确,在service实现类中注入我们刚才配置的bean,调用其oncoding方法即可


    @Autowired
    private BCryptPasswordEncoder passwordEncoder;


 	@Override
    public void save(UserInfo user) throws Exception {
  		user.setPassWord(passwordEncoder.encode(user.getPassWord()));
   	 	userDao.save(user);
    }

2,以上配置比如<security:intercept-url pattern="/**" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')"/>这都是一个全局的权限控制,那么我们要对某一方法控制也有很多方式,发现一个博主总结的比较全
https://blog.youkuaiyun.com/adsadadaddadasda/article/details/82623914
在学习过程中我主要就试了注解和切入点的,
(1),使用pointcut定义方法权限控制,其他任何配置和上相同,单独在配置文件加切入点即可,这里我验证的是只有第一个起作用,其他不起作用的,我见官网上也是这样说的

    <!--表中多个匹配的话将会使用第一个匹配的安全注解,比切入点有更高的优点级-->
   <security:global-method-security>
        <security:protect-pointcut expression="execution(* com.zwp.service.impl.*.find*(..))" access="ROLE_ADMIN"/>
        <security:protect-pointcut expression="execution(* com.zwp.service.impl.*.*(..))" access="ROLE_MANAGER"/>
    </security:global-method-security>

(2),方法级别控制权限,基于注解,有3种方式,JSR-250注解,@Secured注解, 支持表达式的注解,默认均不开启,需要自己开启

开启支持注解,我见视屏上在SpringSecurity.xml中开启,
但是我试了好多次没有用,但是我在springMVC.xml开启是有效的,
这个点还不知道是不是应为我哪配置的不对,我是将注解加载controller的

 <security:global-method-security 
 pre-post-annotations="enabled" 
 jsr250-annotations="enabled" 
 secured-annotations="enabled">
 </security:global-method-security>

1=================JSR-250注解(需要导入依赖)
导入依赖

		<dependency>
            <groupId>javax.annotation</groupId>
            <artifactId>jsr250-api</artifactId>
            <version>1.0</version>
        </dependency>

在controller方法上加上,例如这里写如下,表示只有用户具有user或者admin角色才能操作save(方法),这里USER,ADMIN,前面的ROLE是可以省略的

    @RolesAllowed("USER,ADMIN")
    public void save(UserInfo user) throws Exception {
        user.setPassWord(passwordEncoder.encode(user.getPassWord()));
        userDao.save(user);
    }

这里除了 @RolesAllowed还要 @PermitAll(任何人都能访问)@DenyAll(不让任何人访问),意义不大
2=================@Secured注解,springSecurity默认支持,不需要导入依赖,与JSR-250相似@Secured("ROLE_USER,ROLE_ADMIN"),这里不能省略,千万不能省略

  @Secured("ROLE_USER,ROLE_ADMIN")
    public void save(UserInfo user) throws Exception {
        user.setPassWord(passwordEncoder.encode(user.getPassWord()));
        userDao.save(user);
    }

3=================@支持表达式注解,主要@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter,但是最常用的只有第一个,而且这个取值非常非常灵活
一下为常见表示
hasRole([role]) 当前用户是否拥有指定角色。
hasAnyRole([role1,role2]) 多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回true。
hasAuthority([auth]) 等同于hasRole
hasAnyAuthority([auth1,auth2]) 等同于hasAnyRole
Principle 代表当前用户的principle对象
authentication 直接从SecurityContext获取的当前Authentication对象
permitAll 总是返回true,表示允许所有的
denyAll 总是返回false,表示拒绝所有的
isAnonymous() 当前用户是否是一个匿名用户
isRememberMe() 表示当前用户是否是通过Remember-Me自动登录的
isAuthenticated() 表示当前用户是否已经登录认证成功了。
isFullyAuthenticated() 如果当前用户既不是一个匿名用户,同时又不是通过Remember-Me自动登录的,则返回true。

而且还支持什么算数逻辑运算符之类的,比如这个表示当前用户名为aaa能操作

@PreAuthorize("principal.username.equals('aaa')")

(3),在jsp页面使用,导入标签依赖,然后再页面引入标签库,

<%@taglib prefix="s" uri="http://www.springframework.org/security/tags" %>

有这么5个标签,。有2个常用
常用2个
authorize控制页面内容显示,一下表示当前用户具有admin角色,标签内内容才显示

<s:authorize access="ADMIN"></s:authorize>

authentication 表示当前用户,用户显示当前用户信息

<p><s:authentication property="principal.username"/></p>

嗯嗯嗯嗯嗯,大概就掌握这么多了,只是会简单的控制下权限,要想使用好还要研究很多很多很多-------

Spring Security Taglibs
yanshendeyinji的博客
10-20 695
1官网 https://docs.spring.io/spring-security/site/docs/5.0.7.RELEASE/reference/htmlsingle/#taglibs 2作用: 它为访问安全信息和在JSP中应用安全约束提供了基本支持。 3maven依赖 4在jsp中导入taglib (1)使用授权表单或校验表达式如下 (2)还可以检查授权向特定URL发送请求的用户 (3)认证标签 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GGW3(http
SpringSecurity简单入门
最新发布
YIYIYI
05-21 474
SpringSecurity简单入门
spring security入门
iteye_6930的博客
07-04 280
SpringSecurity能用于保护各种Java应用程序(权限管理框架),但在基于Web的应用程序中使用得最为广泛。 SpringSecurity能以声明的方式来保护Web应用程序的URL访问,只需简单的配置即可实现。 SpringSecurity通过一系列Servlet过滤器为Web应用程序提供了多种安全服务。        HelloWorld!               我...
SpringSecurity入门(一)
恒哥的博客
04-05 1629
项目开发视频: SpringCloud微服务开发入门 手把手开发基于SpringBoot的员工管理系统 亿度云盘~Java小白入门实战 超详细的Java知识点汇总 Spring Security简介 SpringSecurity是一个强大且高效的安全框架,能够提供用户验证和访问控制服务,能够很好地整合到以Spring为基础的项目中。 SpringBoot对SpringSecurity进行了大量的自动配置,使开发者通过少量的代码和配置就能完成很强大的验证和授权功能,下面我们就体验下SpringSecuri
spring security 入门
码农的世界你们不懂
11-28 884
1.spring security基本原理 SpringSecurity 最核心的东西----过滤器链,即一组Filter 所有发送的请求都会经过Filter链,同样响应也会经过Filter链,在系统启动的时候springboot会自动的把他们配置进去; 2. 自定义用户认证逻辑 通过UserDetailsService处理用户信息获取的逻辑;通过UserDetails处理用户校验逻辑;通过Pa...
快速入门SpringSecurity
weixin_38641763的博客
02-06 163
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户经过认证后判断当前用户是否有权限进行某个操作。
SpringSecurity入门Demo实例
10-15
在这个入门Demo实例中,我们将探讨如何配置和使用Spring Security来保护我们的Java应用。教程链接提及的优快云博客文章提供了详细的步骤,指导我们逐步创建一个基本的Spring Security应用。 首先,我们需要在项目中...
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
spring security 入门demo
08-11
在这个"Spring Security 入门demo"中,我们将会探讨一系列关键概念和功能,通过提供的压缩包文件,我们可以看到不同方面的实现示例。 1. **Spring Security RESTful服务**: - `spring-security-rest-full` 模块...
全套Spring Security入门到项目实战课程
03-21
### Spring Security 全套入门到项目实战课程知识点详解 #### 一、Spring Security 概述 **1.1 Spring Security 介绍** - **定义**: Spring Security 是一款基于 Spring 框架的身份认证(Authentication)与用户...
SpringSecurity入门
凉茶铺的博客
07-15 936
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求.1.认证用户登录,解决的是"你是谁?"2.授权判断用户拥有什么权限,可以访问什么资源.解决的是"你能干什么?"3.安全防护,防止跨站请求,session攻击等。...
springsecurity入门
Zohar的博客
12-06 652
springsecurity入门教程 1. springsecurity介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 2. springsecurity入门 ...
Spring Security简单入门
谢萌新
08-21 288
随着程序的开发,安全性也越来越值得被注重,以前没有spring security这个框架的时候,我们要想实现权限页面拦截,都采用的拦截器(interceptor)或者过滤器(filter),特别的麻烦,在使用SpringSecurity后,一切都变的很简单,只需要几个简单的配置就能实现权限身份认证已经对数据进行加密等,非常的方便,无需自己去写复杂的逻辑来实现以前采用拦截器和过滤器才能实现的功能,S...
Spring Security入门示例教程
在这里,标签"Hello World"表明这是一个基础级别的介绍,适合初学者入门使用;"Spring Security"直接指出了核心主题;"入门"则强调这是一个开始学习和理解Spring Security的起点。 #### 压缩包子文件的文件名称列表...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值