security 3.x

<?xml version="1.0" encoding="UTF-8"?>

<beans:beans xmlns="http://www.springframework.org/schema/security"

    xmlns:beans="http://www.springframework.org/schema/beans"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://www.springframework.org/schema/beans

http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

http://www.springframework.org/schema/security

http://www.springframework.org/schema/security/spring-security-3.1.xsd">

    <global-method-security pre-post-annotations="enabled">

    </global-method-security>

    <!-- 该路径下的资源不用过滤 -->

    <http pattern="/include/js/**" security="none" />

    <http pattern="/include/css/**" security="none" />

    <http pattern="/include/scripts/**" security="none" />

    <http pattern="/include/jsp/**" security="none" />

    <http pattern="/images/**" security="none" />

    <http pattern="/login.jsp" security="none" />

    <!--auto-config = true 则使用from-login. 如果不使用该属性 则默认为http-basic(没有session).-->

    <!-- lowercase-comparisons:表示URL比较前先转为小写。-->

        <!-- path-type:表示使用Apache Ant的匹配模式。-->

    <!--access-denied-page:访问拒绝时转向的页面。-->

    <!-- access-decision-manager-ref:指定了自定义的访问策略管理器。-->  

    <http use-expressions="true" auto-config="true"

        access-denied-page="/include/jsp/timeout.jsp">

<!--login-page:指定登录页面。  -->

<!-- login-processing-url:指定了客户在登录页面中按下 Sign In 按钮时要访问的 URL。-->

        <!-- authentication-failure-url:指定了身份验证失败时跳转到的页面。-->

        <!-- default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。-->

<!-- always-use-default-target:指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。

-->  

<form-login login-page="/login.jsp" default-target-url='/system/default.jsp'

        always-use-default-target="true" authentication-failure-url="/login.jsp?login_error=1" />

<!--logout-url:指定了用于响应退出系统请求的URL。其默认值为:/j_spring_security_logout。-->

        <!-- logout-success-url:退出系统后转向的URL。-->

        <!-- invalidate-session:指定在退出系统时是否要销毁Session。-->

        <logout invalidate-session="true" logout-success-url="/login.jsp"

            logout-url="/j_spring_security_logout" />

        <!-- 实现免登陆验证 -->

        <remember-me />  

        <!-- max-sessions:允许用户帐号登录的次数。范例限制用户只能登录一次。-->

<!-- 此值表示:用户第二次登录时,前一次的登录信息都被清空。-->

 <!--   exception-if-maximum-exceeded:默认为false,-->

<!-- 当exception-if-maximum-exceeded="true"时系统会拒绝第二次登录。-->  

        <session-management invalid-session-url="/login.jsp"

            session-fixation-protection="none">

            <concurrency-control max-sessions="1"

                error-if-maximum-exceeded="false" />

        </session-management>

        <custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR" />

        <session-management

            session-authentication-strategy-ref="sas" />  

    </http>

<beans:bean id="sas"

class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">

        <beans:constructor-arg name="sessionRegistry"

            ref="sessionRegistry" />

        <beans:property name="maximumSessions" value="1" />

        <!-- 防止session攻击 -->

        <beans:property name="alwaysCreateSession" value="true" />

        <beans:property name="migrateSessionAttributes" value="false" />

        <!--  同一个帐号 同时只能一个人登录 -->

        <beans:property name="exceptionIfMaximumExceeded"

            value="false" />

    </beans:bean>

    <beans:bean id="sessionRegistry"

        class="org.springframework.security.core.session.SessionRegistryImpl" />

    <!--

事件监听:实现了ApplicationListener监听接口,包括AuthenticationCredentialsNotFoundEvent 事件,-->

    <!-- AuthorizationFailureEvent事件,AuthorizedEvent事件, PublicInvocationEvent事件-->

    <beans:bean

        class="org.springframework.security.authentication.event.LoggerListener" />

    <!-- 自定义资源文件   提示信息 -->

    <beans:bean id="messageSource"

class="org.springframework.context.support.ReloadableResourceBundleMessageSource">

        <beans:property name="basenames" value="classpath:message_zh_CN">

</beans:property>

    </beans:bean>

    <!-- 配置过滤器 -->

    <beans:bean id="myFilter"

        class="com.taskmanager.web.security.MySecurityFilter">

    <!-- 用户拥有的权限 -->

    <beans:property name="authenticationManager" ref="myAuthenticationManager" />

    <!-- 用户是否拥有所请求资源的权限 -->

    <beans:property name="accessDecisionManager" ref="myAccessDecisionManager" />

    <!-- 资源与权限对应关系 -->

    <beans:property name="securityMetadataSource" ref="mySecurityMetadataSource" />

    </beans:bean>

    <!-- 实现了UserDetailsService的Bean -->

    <authentication-manager alias="myAuthenticationManager">

        <authentication-provider user-service-ref="myUserDetailServiceImpl">

            <!-- 登入 密码  采用MD5加密 -->

            <password-encoder hash="md5" ref="passwordEncoder">

            </password-encoder>

        </authentication-provider>

    </authentication-manager>

    <!-- 验证用户请求资源  是否拥有权限 -->

    <beans:bean id="myAccessDecisionManager"

        class="com.taskmanager.web.security.MyAccessDecisionManager">

    </beans:bean>

    <!-- 系统运行时加载 系统要拦截的资源   与用户请求时要过滤的资源 -->

    <beans:bean id="mySecurityMetadataSource"

        class="com.taskmanager.web.security.MySecurityMetadataSource">

        <beans:constructor-arg name="powerService" ref="powerService">

</beans:constructor-arg>

    </beans:bean>

    <!-- 获取用户登入角色信息 -->

    <beans:bean id="myUserDetailServiceImpl"

        class="com.taskmanager.web.security.MyUserDetailServiceImpl">

        <beans:property name="userService" ref="userService"></beans:property>

    </beans:bean>  

    <!-- 用户的密码加密或解密 -->

    <beans:bean id="passwordEncoder"

class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />

</beans:beans>

security 4.x

<beans:beans

        xmlns="http://www.springframework.org/schema/security"

        xmlns:beans="http://www.springframework.org/schema/beans"

        xmlns:p="http://www.springframework.org/schema/p"

        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

        xmlns:context="http://www.springframework.org/schema/context"

        xsi:schemaLocation="http://www.springframework.org/schema/beans

          http://www.springframework.org/schema/beans/spring-beans.xsd

          http://www.springframework.org/schema/context

          http://www.springframework.org/schema/context/spring-context.xsd

          http://www.springframework.org/schema/security

              http://www.springframework.org/schema/security/spring-security.xsd">  

    <context:component-scan base-package="com.framework.security"/>  

    <!--<http pattern="/pm/**" security="none" />-->

    <http pattern="/login.jsp" security="none" />

    <http pattern="/common/**" security="none" />

    <http pattern="/*.ico" security="none" />  

    <http  use-expressions="false" >

        <!-- IS_AUTHENTICATED_ANONYMOUSLY 匿名登录 -->

        <intercept-url pattern="/login" access="IS_AUTHENTICATED_ANONYMOUSLY" />

        <intercept-url pattern="/pm/**/*.jsp" access="ROLE_STATIC" />

        <form-login login-page="/login"    authentication-failure-url="/login?error=1" authentication-success-forward-url="/main.to" />

        <logout invalidate-session="true" logout-url="/logout"  logout-success-url="/"  />

        <http-basic/>

        <headers >

            <frame-options disabled="true"></frame-options>

        </headers>  

        <csrf token-repository-ref="csrfTokenRepository" />  

        <session-management session-authentication-error-url="/frame.expired" >

            <!-- max-sessions只容许一个账号登录,error-if-maximum-exceeded 后面账号登录后踢出前一个账号,expired-url session过期跳转界面 -->

            <concurrency-control max-sessions="1" error-if-maximum-exceeded="false" expired-url="/frame.expired" session-registry-ref="sessionRegistry" />

        </session-management>  

        <expression-handler ref="webexpressionHandler" ></expression-handler>

    </http>  

    <beans:bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" />  

    <beans:bean id="userDetailsService" class="com.framework.security.UserDetailsServiceImpl" />  

    <!--配置web端使用权限控制-->

    <beans:bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />  

    <authentication-manager >

        <authentication-provider ref="authenticationProvider" />

    </authentication-manager>  

    <!-- 自定义userDetailsService, 盐值加密 -->

    <beans:bean id="authenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">

        <beans:property name="hideUserNotFoundExceptions" value="true" />

        <beans:property name="userDetailsService" ref="userDetailsService" />

        <beans:property name="passwordEncoder" ref="passwordEncoder" />

        <beans:property name="saltSource" ref="saltSource" />

    </beans:bean>  

    <!-- Md5加密 -->

    <beans:bean id="passwordEncoder" class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />  

    <!-- 盐值加密 salt对应数据库字段-->

    <beans:bean id="saltSource" class="org.springframework.security.authentication.dao.ReflectionSaltSource">

        <beans:property name="userPropertyToUse" value="salt"/>

    </beans:bean>  

    <beans:bean id="csrfTokenRepository" class="org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository" />

</beans:beans>

spring security xml配置详解的更多相关文章

  1. Spring 入门 web.xml配置详解

    Spring 入门 web.xml配置详解 https://www.cnblogs.com/cczz_11/p/4363314.html https://blog.csdn.net/hellolove ...

  2. java web.xml配置详解(转)

    源出处:java web.xml配置详解 1.常规配置:每一个站的WEB-INF下都有一个web.xml的设定文件,它提供了我们站台的配置设定. web.xml定义: .站台的名称和说明 .针对环境参 ...

  3. SpringBoot—整合log4j2入门和log4j2.xml配置详解

    关注微信公众号:CodingTechWork,一起学习进步. 引言   对于一个线上程序或者服务而言,重要的是要有日志输出,这样才能方便运维.而日志的输出需要有一定的规划,如日志命名.日志大小,日志分 ...

  4. web.xml配置详解之listener

    web.xml配置详解之listener 定义 <listener> <listener-class>nc.xyzq.listener.WebServicePublishLis ...

  5. tomcat中server.xml配置详解(转载)(一)

    转载自:https://www.cnblogs.com/starhu/p/5599773.html tomcat中server.xml配置详解 Tomcat Server的结构图如下:(该文件描述了如 ...

  6. Web.xml配置详解(转)

    Web.xml配置详解 Posted on 2010-09-02 14:09 chinaifne 阅读(295105) 评论(16) 编辑 收藏 1 定义头和根元素 部署描述符文件就像所有XML文件一 ...

  7. Tomcat中的Server.xml配置详解

    Tomcat中的Server.xml配置详解 Tomcat Server的结构图如下: 该文件描述了如何启动Tomcat Server <Server> <Listener /> ...

  8. Log4j2详解——XML配置详解

    Log4j2详解--XML配置详解 找到了个很详细的文章链接 https://www.jianshu.com/p/bfc182ee33db

  9. Java web.xml 配置详解

    在项目中总会遇到一些关于加载的优先级问题,近期也同样遇到过类似的,所以自己查找资料总结了下,下面有些是转载其他人的,毕竟人家写的不错,自己也就不重复造轮子了,只是略加点了自己的修饰. 首先可以肯定的是 ...

随机推荐

  1. c语言:简单排序:冒泡排序法、选择排序法、插入排序法(待写)

    1.冒泡排序法: 假设有n个数需要按从小到大排序,冒泡排序的原理是,在这一排数字中,将第一个数与第二个数比较大小,如果后面的比前面的小,就将他们交换位置.然后再比较第二个和第三个,再交换,直到第n-1 ...

  2. jmeter 4.0版本更新说明(个人做个记录)总版本更新合集

    版本4.0 摘要 新的和值得注意的 不兼容的变化 Bug修复 改进 非功能性变化 已知问题和解决方法 谢谢 新的和值得注意的 核心改进 JMeter现在支持JAVA 9. 提供新的边界提取器元件,提供 ...

  3. EBS 定义显示总帐快码设置

    自定义一个功能如下,挂到菜单上就可以了功能 用户功能名 表单 参数GL_GLXDQMLK(自定义) 总帐代码列表 定义代码 VIEW_APPLICATION="SQLGL" HEL ...

  4. 微赞微擎V0.8以上版本:【数据库读写分离】实战教程 [复制链接]

    http://www.efwww.com/forum.php?mod=viewthread&tid=4870 马上注册,下载更多源码,让你轻松玩转微信公众平台. 您需要 登录 才可以下载或查看 ...

  5. [leet code 4] Median of Two Sorted Arrays

    1 题目 There are two sorted arrays A and B of size m and n respectively. Find the median of the two so ...

  6. Azure DevOps Server: 使用Rest Api获取拉取请求Pull Request中的变更文件清单

    需求: Azure DevOps Server 的拉取请求模块,为开发团队提供了强大而且灵活的代码评审功能.拉取请求中变更文件清单,对质量管理人员,是一个宝贵的材料.质量保障人员可以从代码清单中分析不 ...

  7. C# Enum枚举类型操作扩展类

    使用示例: using System.ComponentModel; namespace SchoolEnterpriseManageSys.Enum { /// <summary> // ...

  8. 【转】OAuth的改变

    原文地址:http://huoding.com/2011/11/08/126 去年我写过一篇<OAuth那些事儿>,对OAuth做了一些简单扼要的介绍,今天我打算写一些细节,以阐明OAut ...

  9. ArrayBlockingQueue源码解析(2)

    此文已由作者赵计刚授权网易云社区发布. 欢迎访问网易云社区,了解更多网易技术产品运营经验. 3.3.public void put(E e) throws InterruptedException 原 ...

  10. [译] 玩转ptrace (一)

    [本文翻译自这里: http://www.linuxjournal.com/article/6100?page=0,0,作者:Pradeep Padaia] 你是否曾经想过怎样才能拦截系统调用?你是否 ...