spring security learning(spring in action)
1.使用Spring Security配置命名空间
spring securtiy 提供了安全性相关的命名空间,我们可以将spring security的命名空间声明添加到spring公用的配置xml文件中,这样在配置安全性的时候我们需要使用security作为前缀来表明配置是关于安全性的配置;同时我们也可以将安全性相关的配置提取出来拆分到一个单独的spring-secutiry.xml文件中,同时将该配置文件的首要命名空间改为安全性命名空间,这样在配置安全性的时候就无需security前缀了。spring-security.xml命名空间如下:
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
</beans:beans>
2.配置对于web请求的保护
Spring Security 借助一系列的Servlet过滤器来提供各种安全功能,需要在web.xml里加入一个过滤器:
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter> <filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
DelegatingFilterProxy将工作委托给一个javax.servlet.filter实现类,这个实现类作为一个bean注册在Spring应用的上下文中。在这里我配置的过滤器将过滤所有的web请求。
接下来就可以配置安全性了,在这里使用<http>元素进行配置,<http>会自动创建一个FilterChainProxy以及链中的所有过滤器Bean,FilterChainProxy将会委托给在web.xml中的delegatingFilterProxy。同时<http>还有一个auto-config属性,如果设为true,即采用spring security的自动配置,它将会为我们提供一个登陆页、http认证功能以及退出功能。
<intercept-url pattern="/login.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY"/> <intercept-url pattern="/user/register.html" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
在这里我首先采用 <http pattern="/resources/**" security="none"></http> 让spring security 对于所有resources下的请求都不进行安全性认证,因为resources下是系统的一些图片、css、js资源。
其次对于登陆页面和注册页面的请求,也不进行安全性认证(IS_AUTHENTICATED_ANONYMOUSLY:即匿名身份验证):
然后对登录页面进行设置:
<form-login login-processing-url="/user/login.html" login-page="/login.jsp" default-target-url="/user/index.html"
authentication-failure-url="/login.jsp" />
login-processing-url:登录请求
login-page:登录页面
default-target-url:登录成功以后默认跳转到的页面
default-target-url:认证失败后跳转到的页面
登录页面设置完毕后对退出系统进行设置:
<logout logout-success-url="/login.jsp" logout-url="/user/logout.html"/>
logout-success-url:退出成功以后跳转的页面
logout-url:退出的请求
完整的web认证配置:
<http pattern="/resources/**" security="none"></http>
<http>
<intercept-url pattern="/login.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<intercept-url pattern="/register.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<intercept-url pattern="/**" access="ROLE_ADMIN"/>//所有的请求都要有ROLE_ADMIN的权限才能访问
<form-login login-processing-url="/user/login.html" login-page="/login.jsp" default-target-url="/user/index.html"
authentication-failure-url="/login.jsp" />
<logout logout-success-url="/login.jsp" logout-url="/user/logout.html"/>
</http>
3.对用户进行认证
spring security 有多种对于用户的策略,基于内存用户存储库,基于jdbc的用户存储库,基于LDAP的用户存储库等等,在这里我选用的是基于jdbc即基于数据库的认证。
首先实现UserDetailsService接口,实现类叫myUserDetailsService,并在spring-security中声明这个bean
<logout logout-success-url="/login.jsp" logout-url="/user/logout.html"/>
myUserDetailsService:
@Service
public class MyUserDetailsService implements UserDetailsService{ private static Logger log = Logger.getLogger(MyUserDetailsService.class); @Autowired
private UserDao userDao;
public UserDetails loadUserByUsername(String username)
throws UsernameNotFoundException {
User user = new User();
try{
user = userDao.getByColumn("username",username);
}catch(Exception e){
e.printStackTrace();
log.error("spring security load user fail", e.getCause());
}
return user;
} }
通过这个service从数据库获取User对象,但是要注意UserDetailsService接口中的loadUserByUsername()方法返回的是UserDetails对象,所以你的User对象必须继承自UserDetails接口,并且实现接口中的方法。
User:
public class User implements UserDetails{
private Integer user_id;
private String username;
private String password;
private List<Role> roles;
public Integer getUser_id() {
return user_id;
}
public void setUser_id(Integer user_id) {
this.user_id = user_id;
}
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
public List<Role> getRoles() {
return roles;
}
public void setRoles(List<Role> roles) {
this.roles = roles;
}
public Collection<? extends GrantedAuthority> getAuthorities() {//获取认证的权限
List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();
for(Role role : roles){
GrantedAuthority grantedAuthority = new SimpleGrantedAuthority(role.getAuthority());
list.add(grantedAuthority);
}
return list;
}
//用户是否未过期
public boolean isAccountNonExpired() {
return true;
}
//用户是否被锁定
public boolean isAccountNonLocked() {
return true;
}
//凭据是否过期
public boolean isCredentialsNonExpired() {
return true;
}
//用户是否可用
public boolean isEnabled() {
return true;
}
}
权限类:
public class Role {
private String username;
private String authority;
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getAuthority() {
return authority;
}
public void setAuthority(String authority) {
this.authority = authority;
}
}
声明了myUserDetailsService以后,就可以使用myUserDetailsService作为认证的提供者了:
<authentication-manager>
<authentication-provider user-service-ref="myUserDetailsService">
<password-encoder ref="passwordEncoder">
<salt-source user-property="username"/>
</password-encoder>
</authentication-provider>
</authentication-manager>
在这里我们必须将密码使用的加密方式进行声明,否则service不会对用户输入的密码进行加密,那么数据库和用户输入的密码就不可能对上。这儿我使用的加密的方式是md5加密,使用的盐值是用户的用户名。
加密bean的声明:
<beans:bean id="passwordEncoder"
class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />
基本的配置已经完成了,最后需要注意的一点就是在写用户登录表单的时候,用户名和密码的name注意是:j_username和j_password,否则将会取不到用户输入的用户名和密码的值。
到这里一个简单的spring security的配置就基本完成了。当然spring security的安全性功能远远还不止这些,等待继续深一步的学习。
spring security learning(spring in action)的更多相关文章
- PART 5: INTEGRATING SPRING SECURITY WITH SPRING BOOT WEB
转自:http://justinrodenbostel.com/2014/05/30/part-5-integrating-spring-security-with-spring-boot-web/ ...
- Spring Security +Oauth2 +Spring boot 动态定义权限
Oauth2介绍:Oauth2是为用户资源的授权定义了一个安全.开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息,并且这是安全的. 简单的来说,当用户登陆网站的时候,需要账号 ...
- Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器,包括Spring Security和Spring Boot
2月14日,Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器. 其中包括Spring Security和Spring Boot的适配器,这意味着今后Keycloak团队将不再提供 ...
- 漫谈Spring Security 在Spring Boot 2.x endpoints中的应用(一)
Spring Boot 2.x极大简化了默认的安全配置,并不是说有很多安全相关的配置,现在你只需要提供一个WebSecurityConfigurerAdapter继承类这样一个简单的操作,Spring ...
- spring boot:用spring security加强spring boot admin的安全(spring boot admin 2.3.0 / spring boot 2.3.3)
一,spring boot admin的安全环节: 1,修改context-path,默认时首页就是admin, 我们修改这个地址可以更安全 2,配置ip地址白名单,有ip限制才安全, 我们使用了sp ...
- 微服务下前后端分离的统一认证授权服务,基于Spring Security OAuth2 + Spring Cloud Gateway实现单点登录
1. 整体架构 在这种结构中,网关就是一个资源服务器,它负责统一授权(鉴权).路由转发.保护下游微服务. 后端微服务应用完全不用考虑权限问题,也不需要引入spring security依赖,就正常的 ...
- spring security在spring mvc的action中获取登录人信息
@RequestMapping("/index") public ModelAndView login( @RequestParam(value = "error&quo ...
- SpringMVC 3.1集成Spring Security 3.1
这篇算是一个入门文章,昨天看见有网友提问,spring mvc集成spring security 的时候出错,揣测了一下问题木有解决.我就帮忙给搭建了一个集成框架他说可以,他告诉我这样的文章网上少.今 ...
- spring security源码分析之web包分析
Spring 是一个非常流行和成功的 Java 应用开发框架.Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案.一般来说,Web 应用的安全性包括 ...
随机推荐
- 个推push数据统计(爬虫)
该方案基于任务调度框架Gearman,采用Python开发的分布式数据统计系统. 项目的目录结构很简单: # apple at localhost in ~/Develop/getui [11:24: ...
- php的 '1' == 1, 返回true,到底是谁变成了谁?
此过程为字符串的 '1' 隐含的编程了数字类型1,所以是true
- C语言atoi函数
目录 1.包含头文件 2.函数声明 3.功能说明 4.示例 5.其它说明 6.版权声明 C语言提供了一系列函数把字符串转换为整数:atoi.atol.atoll和atoq. 1.包含头文件 #incl ...
- 给定一个整数数组 nums 和一个目标值 target,求nums和为target的两个数的下表
这个是来自力扣上的一道c++算法题目: 给定一个整数数组 nums 和一个目标值 target,请你在该数组中找出和为目标值的那 两个 整数,并返回他们的数组下标. 你可以假设每种输入只会对应一个答案 ...
- 汇编刷题:屏幕显示 HOW ARE YOU!
DATA SEGMENT INFO DB 'HOW ARE YOU!$' DATA ENDS CODE SEGMENT ASSUME CS:CODE,DS:DATA START: MOV AX,DAT ...
- 在OS X环境下MySQL启动时报错
--03T00::.483037Z [ERROR] InnoDB: Unable to lock ./ibdata1 error: --03T00::.483100Z [Note] InnoDB: C ...
- Vue 核心最基本的功能
~~~<html><head> <script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"& ...
- 怎么入门python?不懂你别瞎尝试,看看大佬怎么说
学习任何一门语言都是从入门,通过不间断练习达到熟练水准.虽然万事开头难,但好的开始是成功的一半,今天这篇文章就来谈谈怎么入门python? 在开始学习python之前,你需要确定好学习计划和方式 比如 ...
- [译]使用开发工具来调试 Beta 版 WebView
自2014年以来,Android WebView 已经作为一个可更新的系统组件铺平了道路,为 Android 应用程序和用户提供了稳定性和性能改进.现代网络平台功能和安全补丁. 然而,更新可能是一把双 ...
- IdentityServer4 QuckStart 授权与自定义Claims
最近在折腾IdentityServer4,为了简单,直接使用了官方给的QuickStart示例项目作为基础进行搭建.有一说一,为了保护一个API,感觉花费的时间比写一个API还要多. 本文基于ASP. ...