Maven依赖

 <dependencies>

   <!-- ... other dependency elements ... -->

   <dependency>

     <groupId>org.springframework.security</groupId>

     <artifactId>spring-security-web</artifactId>

     <version>4.2.3.RELEASE</version>

   </dependency>

   <dependency>

     <groupId>org.springframework.security</groupId>

     <artifactId>spring-security-config</artifactId>

     <version>4.2.3.RELEASE</version>

   </dependency>

 </dependencies>

要点

configureGlobal(AuthenticationManagerBuilder auth)方法:用来配置获取和核对用户信息

configure(HttpSecurity http)方法:用来配置访问资源对应的权限

开启Spring Security:在配置类头上加注解@EnableWebSecurity

 @Configuration

 @EnableWebSecurity

 public class SecurityConfig {

      @Autowired

      public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

          auth

              .inMemoryAuthentication()

                  .withUser("user").password("password").roles("USER");

      }

 }

这个类的配置将产生如下作用:

  • 要求验证所有请求应用的URL

  • 产生一个登录表单界面

  • 只允许使用类中指定的“user”和“password”进行登录才验证通过

  • 运行用户登出(使用post方便访问“/logout”URL)

  • 第8行定义一个在内存中(in memory)的用户,用户名为“user”,密码为“password”,角色为“USER”

初始化:定义一个继承于AbstractSecurityWebApplicationInitializer的类

  • 如果不使用Spring 或者Spring MVC,则你需要在这个类中加载上面的配置类,如下
 public class SecurityWebApplicationInitializer

       extends AbstractSecurityWebApplicationInitializer {

     public SecurityWebApplicationInitializer() {

         super(SecurityConfig.class);

     }

 }
  • 如果使用Spring 或者Spring MVC,只需将这个类置空即可,然后在Spring MVC的启动类中加载SpringSecurity配置类,以下示例的Spring MVC也是基于Java注解配置的,可以看我的另一篇博客Spring完全基于Java和注解配置,如下
 public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {

 }
 public class MvcWebApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

     @Override

     protected Class<?>[] getRootConfigClasses() {

         return new Class[] { WebSecurityConfig.class };

     }

 // ... other overrides ...

 }

第一种方法的SecurityWebApplicationInitializer 将会:

  • 自动注册springSecurityFilterChain Filter拦截所有的URL

  • 添加一个ContextLoaderListener去加载 上面定义SecurityConfig配置类

springSecurityFilterChain Filter:负责应用的所有安全,包括保护URL的访问、验证提交的用户名和密码、重定向到登录表单等

自定义登录界面

修改SecurityConfig类,WebSecurityConfigurerAdapter类提供一些方便的默认设置,使应用程序快速运行。

 @EnableWebSecurity

 public class SecurityConfig extends WebSecurityConfigurerAdapter {

     @Override

     protected void configure(HttpSecurity http) throws Exception {

         http

             .authorizeRequests()

                 .antMatchers("/resources/**").permitAll()

                 .anyRequest().authenticated()

                 .and()

             .formLogin()

                 .loginPage("/login")

                 .permitAll()

                 .and()

             .logout()

                 .permitAll();

     }

     // ...

该配置提供:

  • 验证每个请求,除了以“/resources/”开头的URL
  • 支持基于表单验证,登录页面为“/login”对应的文件
  • 支持基于http验证

其中loginPage("/login") 指示:

  • 请求验证时被重定向到 /login

  • 验证失败失败时被重定向到 /login?error

  • 登出成功时会被重定向到 /login?logout

permitAll()方法声明允许在未验证时任何访问到的资源和URL,如果不加则连访问/login 都会一直被重定向

HttpSecurity类:类似XML配置中的<http>元素,可以配置基于web的安全请求,默认下,它会作用于所有的请求,但是可以使用 requestMatcher(RequestMatcher)等类似方法进行限制

以下方法定义只有“USER”角色的用户才能访问“/”URL(即任何请求)

 protected void configure(HttpSecurity http) throws Exception {

       http.authorizeRequests().antMatchers("/**").hasRole("USER").and().formLogin();

 }

常用方法:

antMatcher(String antPattern):配置只有当匹配该路径模式时才调用 HttpSecurity

authorizeRequests():限制基于HttpServletRequest之上的使用

csrf():添加CSRF支持
 

configureGlobalSecurity(AuthenticationManagerBuilder auth)用来指定从何处获取用户
configure(HttpSecurity http)用来配置访问每个URL所需的对应权限

UserDetails
UserDetails 是一个 Spring Security 的核心接口,代表一个主体(包含于用户相关的信息)。
在 Authentication 接口中有一个方法 Object getPrincipal(); 这个方法返回的是一个安全主题,大多数情况下,这个对象可以强制转换成 UserDetails 对象,获取到UerDetails 对象之后,就可以通过这个对象的 getUserName()方法获取当前用户名。

自定义验证:通过暴露类型为AuthenticationProvider或者UserDetailsService的bean,使用的验证设置优先级高到低排序为AuthenticationManagerBuilder、AuthenticationProvider、UserDetailsService,即要是发现存在使用前者的配置,则后者的配置无效

通过暴露一个PasswordEncoder类型的bean来定义密码使使用何种编码,如下使用bcrypt

@Bean

public BCryptPasswordEncoder passwordEncoder() {

  return new BCryptPasswordEncoder();

}

开启方法注解

在任何配置类(使用@Configuration注解的类)头上添加 @EnableGlobalMethodSecurity注解,然后就可以使用@Secured等方法级注解进行安全配置,可以为方法定义一系列属性,这些配置将会通过AccessDecisionManager来实际决定

Spring Security基于Java配置的更多相关文章

  1. spring-security-4 (2)spring security 基于Java配置的搭建

    一.spring security的模块 搭建spring security首先我们要导入必须的jar,即maven的依赖.spring security按模块划分,一个模块对应一个jar. spri ...

  2. Spring完全基于Java配置和集成Junit单元测试

    要点: 配置继承WebApplicationInitializer的类作为启动类,相当于配置web.xml文件 使用@Configuration注解一个类,在类中的方式使用@Bean注解,则表名该方法 ...

  3. spring boot rest 接口集成 spring security(2) - JWT配置

    Spring Boot 集成教程 Spring Boot 介绍 Spring Boot 开发环境搭建(Eclipse) Spring Boot Hello World (restful接口)例子 sp ...

  4. spring实战六之使用基于java配置的Spring

    之前接触的都是基于XML配置的Spring,Spring3.0开始可以几乎不使用XML而使用纯粹的java代码来配置Spring应用.使用基于java配置的Spring的步骤如下: 1. 创建基于ja ...

  5. Spring入门(8)-基于Java配置而不是XML

    Spring入门(8)-基于Java配置而不是XML 本文介绍如何应用Java配置而不是通过XML配置Spring. 0. 目录 声明一个简单Bean 声明一个复杂Bean 1. 声明一个简单Bean ...

  6. CAS Spring Security 3 整合配置(转)

    一般来说, Web 应用的安全性包括用户认证( Authentication )和用户授权( Authorization )两个部分.用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否 ...

  7. Spring Security(三) —— 核心配置解读

    摘要: 原创出处 https://www.cnkirito.moe/spring-security-3/ 「老徐」欢迎转载,保留摘要,谢谢! 3 核心配置解读 上一篇文章<Spring Secu ...

  8. springmvc基于java配置的实现

    该案例的github地址:https://github.com/zhouyanger/demo/tree/master/springmvc-noxml-demo 1.介绍 之前搭建SpringMvc项 ...

  9. Spring IoC — 基于Java类的配置

    普通的POJO只要标注@Configuration注解,就可以为Spring容器提供Bean定义的信息了,每个标注了@Bean的类方法都相当于提供一个Bean的定义信息. 基于Java类的配置方法和基 ...

随机推荐

  1. python基础——匿名函数及递归函数

    python基础--匿名函数及递归函数 1 匿名函数语法 匿名函数lambda x: x * x实际上就是: def f(x): return x * x 关键字lambda表示匿名函数,冒号前面的x ...

  2. Redis管理之持久化

    Redis的一大重要特征就是支持持久化. Redis提供了两种不同的持久化方式:RDB和AOF. RDB持久化可以在指定的时间间隔内生成数据集的快照.由于是定期的生成数据集的快照,所以,如果服务器出现 ...

  3. JMeter如何使用用户定义的变量

    jmeter中经常使用用户自定义变量,以下是如何在实战中使用自定义变量. 先用Badboy录制登陆脚本,具体的Badboy录制脚本方法自行百度.录制完毕后修改脚本,删除一些没有用的脚本.这里我只保留了 ...

  4. [SHOI 2011]双倍回文

    Description 题库链接 记一个字符串为 \(X\) ,它的倒置为 \(X^R\) .现在给你一个长度为 \(n\) 的字符串 \(S\) ,询问其最长的形同 \(XX^RXX^R\) 的子串 ...

  5. [SDOI2008]Sue的小球

    题目描述 Sue和Sandy最近迷上了一个电脑游戏,这个游戏的故事发在美丽神秘并且充满刺激的大海上,Sue有一支轻便小巧的小船.然而,Sue的目标并不是当一个海盗,而是要收集空中漂浮的彩蛋,Sue有一 ...

  6. 【20170521校内模拟赛】热爱生活的小Z

    学长FallDream所出的模拟赛,个人感觉题目难度还是比较适中的,难度在提高+左右,可能比较接近弱省省选,总体来讲试题考查范围较广,个人认为还是很不错的. 所有试题如无特殊声明,开启-O2优化,时限 ...

  7. 【CodeVs 6128 Lence的方块们】

    ·希望除了内部人员以外能有人通过这道题,因为这是大米饼第一次改编的题 ·我所见到的"本题原版"的题解也很少,搜索一下应该是: #include<stdio.h> #in ...

  8. [Codeforces]871D Paths

    失踪OJ回归. 毕竟这样的数论没做过几道,碰上一些具体的应用还是无所适从啊.小C还是借助这题大致摸索一下莫比乌斯函数吧. Description 有n个点,标号为1~n,为这n个点建一张无向图.两个点 ...

  9. 2017ACM/ICPC广西邀请赛-重现赛 1004.Covering

    Problem Description Bob's school has a big playground, boys and girls always play games here after s ...

  10. 关于java线程中stop interrupt daemon wait notify

    一.关于终止线程stop与interrupt 一般来说,线程执行结束后就变成消亡状态,乍看之下我们并不需要人为进行干预(人为停止线程),不过凡事都有例外吧,在服务器或者其他应用场景下,线程为了提供服务 ...