1.Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架

2.安全包括两个主要操作。

“认证”,是为用户建立一个他所声明的主体。主题一般式指用户,设备或可以在你系统中执行动作的其他系统。

“授权”指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主题已经由身份验证过程建立了。

3.Spring Security 应用与用户登陆

需求:用户登陆后台不仅仅需要用户名和密码 ,并且需要相应的权限(如:authorities="ROLE_USER"才可以登陆)

4.环境搭建

1>Maven依赖

<properties>

        <spring.security.version>5.0.1.RELEASE</spring.security.version>

 </properties>

<!--spring security授权认证.jar   -->

< dependencies>

        <dependency>

            <groupId>org.springframework.security</groupId>

            <artifactId>spring-security-web</artifactId>

            <version>${spring.security.version}</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.security</groupId>

            <artifactId>spring-security-config</artifactId>

            <version>${spring.security.version}</version>

        </dependency>

        <dependency>

            <groupId>javax.servlet</groupId>

            <artifactId>javax.servlet-api</artifactId>

            <version>3.1.0</version>

            <scope>provided</scope>

        </dependency>

< /dependencies>

  2>web.xml

<!--配置Spring的监听器,默认只加载WEB-INF目录下的applicationContext.xml配置文件 -->

    <listener>

        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>

    </listener>

    <!--设置配置文件的路径 -->

    <context-param>

        <param-name>contextConfigLocation</param-name>

        <param-value>classpath:applicationContext.xml,classpath:spring-security.xml</param-value>

    </context-param>

<!--spring-serurity的过滤器  -->

    <filter>

        <filter-name>springSecurityFilterChain</filter-name>

        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>springSecurityFilterChain</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

  3>spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans"

       xmlns:security="http://www.springframework.org/schema/security"

       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

       xsi:schemaLocation="http://www.springframework.org/schema/beans

    http://www.springframework.org/schema/beans/spring-beans.xsd

    http://www.springframework.org/schema/security

    http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 配置不拦截的资源 -->

    <security:http pattern="/login.jsp" security="none"/>

    <security:http pattern="/failer.jsp" security="none"/>

    <security:http pattern="/css/**" security="none"/>

    <security:http pattern="/img/**" security="none"/>

    <security:http pattern="/plugins/**" security="none"/>

    <!--

        配置具体的规则

        auto-config="true"    不用自己编写登录的页面,框架提供默认登录页面

        use-expressions="false"    是否使用SPEL表达式(没学习过)

    -->

    <security:http auto-config="true" use-expressions="false">

        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->

        <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>

        <!-- 定义跳转的具体的页面 -->

        <security:form-login
          //那个页面发起的long请求

                login-page="/WEB-INF/pages/login.jsp"
          //匹配请求

                login-processing-url="/login
          //默认目标地址

                default-target-url="/index.jsp"
          //失败跳转地址

                authentication-failure-url="/failer.jsp"
          //成功跳转地址

                authentication-success-forward-url="/WEB-INF/pages/main.jsp"

        />

        <!-- 关闭跨域请求 -->

        <security:csrf disabled="true"/>

        <!-- 退出 -->

        <security:logout invalidate-session="true" logout-url="/logout" logout-success-url="/login.jsp" />

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->

    <security:authentication-manager>

        <security:authentication-provider user-service-ref="userService">

            <!-- 配置加密的方式

            <security:password-encoder ref="passwordEncoder"/>-->

        </security:authentication-provider>

    </security:authentication-manager>

    <!-- 配置加密类 -->

    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

    <!-- 提供了入门的方式,在内存中存入用户名和密码

    <security:authentication-manager>

        <security:authentication-provider>

            <security:user-service>

                <security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>

            </security:user-service>

        </security:authentication-provider>

    </security:authentication-manager>

    -->

</beans>

5. <security:authentication-provider user-service-ref="userService">

userService 需要继承UserDatailsService

public interface UserService extends UserDetailsService{

}

6.userServiceImpl

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        UserInfo userInfo = userDao.findByUserName(username);
     //不需要对用户的状态进行判断的3个参数即可(username,password,Authority)

        // User user = new User(userInfo.getUsername(), "{noop}" + userInfo.getPassword(),getAuthority(userInfo.getRoles()));
     //对用户状态进行判断
     //{noop}不需要解密的时候需要加上 无加密

        User user = new User(userInfo.getUsername(), "{noop}" + userInfo.getPassword(),

        userInfo.getStatus() == 0 ? false : true, true, true, true, getAuthority(userInfo.getRoles()));

        System.out.println(userInfo);

        return user;

    }

  
   //将userInfo对象转化成Collection<? extends GrantedAuthority> authorities

     public List<SimpleGrantedAuthority> getAuthority(List<Role> roles) {

        ArrayList<SimpleGrantedAuthority> list = new ArrayList<SimpleGrantedAuthority>();

        for (Role role : roles) {

            list.add(new SimpleGrantedAuthority("ROLE_" + role.getRoleName()));

        }

        return list;

    }

TZ_09_自定义Spring-security的更多相关文章

  1. 自定义Spring Security的身份验证失败处理

    1.概述 在本快速教程中,我们将演示如何在Spring Boot应用程序中自定义Spring Security的身份验证失败处理.目标是使用表单登录方法对用户进行身份验证. 2.认证和授权(Authe ...

  2. Spring Security学习笔记-自定义Spring Security过滤链

    Spring Security使用一系列过滤器处理用户请求,下面是spring-security.xml配置文件. <?xml version="1.0" encoding= ...

  3. 自定义Spring Security权限控制管理(实战篇)

    上篇<话说Spring Security权限管理(源码)>介绍了Spring Security权限控制管理的源码及实现,然而某些情况下,它默认的实现并不能满足我们项目的实际需求,有时候需要 ...

  4. Spring Security Oauth2 自定义 OAuth2 Exception

    付出就要得到回报,这种想法是错的. 前言 在使用Spring Security Oauth2登录和鉴权失败时,默认返回的异常信息如下 { "error": "unauth ...

  5. SpringBoot集成Spring Security(4)——自定义表单登录

    通过前面三篇文章,你应该大致了解了 Spring Security 的流程.你应该发现了,真正的 login 请求是由 Spring Security 帮我们处理的,那么我们如何实现自定义表单登录呢, ...

  6. spring security自定义指南

    序 本文主要研究一下几种自定义spring security的方式 主要方式 自定义UserDetailsService 自定义passwordEncoder 自定义filter 自定义Authent ...

  7. Spring Cloud实战 | 第九篇:Spring Cloud整合Spring Security OAuth2认证服务器统一认证自定义异常处理

    本文完整代码下载点击 一. 前言 相信了解过我或者看过我之前的系列文章应该多少知道点我写这些文章包括创建 有来商城youlai-mall 这个项目的目的,想给那些真的想提升自己或者迷茫的人(包括自己- ...

  8. 在Spring Boot中使用Spring Security实现权限控制

    丢代码地址 https://gitee.com/a247292980/spring-security 再丢pom.xml <properties> <project.build.so ...

  9. Spring security 如何设置才能避免拦截到静态资源

    问题:继承FilterSecurityInterceptor自定义Spring security拦截器,但是每次都拦截了css等静态资源,应该如何设置? @Override protected voi ...

  10. Spring Security 前后端分离登录,非法请求直接返回 JSON

    hello 各位小伙伴,国庆节终于过完啦,松哥也回来啦,今天开始咱们继续发干货! 关于 Spring Security,松哥之前发过多篇文章和大家聊聊这个安全框架的使用: 手把手带你入门 Spring ...

随机推荐

  1. virtualbox导入winXP系统OVA文件重启

    1,开启虚拟机 2,按f8进入安全模式,然后修改注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Processor HKEY_LOC ...

  2. JS规则 较量较量(比较操作符) 两个操作数通过比较操作符进行比较,得到值为真(true)和假(false)。【>; <; >=; <=; !=;==】

    较量较量(比较操作符) 我们先来做道数学题,数学考试成绩中,小明考了90分,小红考了95分,问谁考的分数高? 答: 因为"95 > 90",所以小红考试成绩高. 其中大于号& ...

  3. Redis单机和集群配置(版本在5.0后)

    摘抄并用于自己后查 单机版的配置: 1. 下载redis压缩包,然后解压缩文件(tar xzf): 2. 进入解压后的redis文件目录,编译redis源文件(make,没有c环境要gcc): 3. ...

  4. fiddler抓包工具遇到的问题-------502报错

    遇到的问题: 打开浏览器,输入本机的虚拟机地址的bugfree,出现无法连接的提示,具体是: [Fiddler] The connection to '192.168.211.128' failed. ...

  5. HTML - 框架标签相关

    <html> <head></head> <!-- frameset 框架标签 cols : 按照列进行区域的切分 rows : 按照行进行区域的切分 fra ...

  6. NFS+mou

    前言 有两台电脑,Linux操作系统,服务器和客户端,IP不同,但是可以相互访问. 客户端想访问服务器的文件系统 准备工作 假设 服务器的ip为 192.168.0.100,要分享为公共文件夹的目录为 ...

  7. 简单科普下hosts文件原理与制作

    简单科普下hosts文件原理与制作 hosts文件是一个用于储存计算机网络中各节点信息的计算机文件.这个文件负责将主机名映射到相应的IP地址.hosts文件通常用于补充或取代网络中DNS的功能.和DN ...

  8. codeforces 1100E-Andrew and Taxi

    传送门:QAQQAQ 题意:给你一个图,每条边有边权,现在你可以对边进行反转,使图中不存在环,你需要使得反转的边的边权集合中的最大值最小,并输出任意一组解. 思路:二分+拓扑排序 使得最大值最小,自然 ...

  9. 常用的函数:atoi,itoa,atof,_ttoi等

    出自http://blog.csdn.net/zzyoucan/article/details/10260093 atoi---ASCII to integer,将字符串转换成整形,从数字或正负号开始 ...

  10. C#端一个不错的订单号生成规则

    /// <summary> /// 订单助手 /// </summary> public class OrderHelper { /// <summary> /// ...