记录一下spring security的配置

配置详解

<?xml version="1.0" encoding="UTF-8"?>

<beans:beans xmlns="http://www.springframework.org/schema/security"

             xmlns:beans="http://www.springframework.org/schema/beans"

             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

             xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd

                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 指定登录页面不拦截 -->

    <http security="none" pattern="/login.htm"/>

    <http auto-config="true">

        <!--

            login-page  指定登录页面

            username-parameter  登录的用户名,默认是“j_username”

            password-parameter  登录的密码,默认是“j_password”

            login-processing-url  登录提交的页面,默认是“/j-spring-security-check”

            default-target-url  指定登录成功后跳转的界面

            authentication-success-handler-ref  指定登录成功后调用的服务,这里指定后default-target-url就不生效, AuthenticationSuccessHandler

            authentication-failure-url 指定登录失败后跳转的界面

            authentication-failure-handler-ref="authenticationFailHandler" 指定登录失败后调用的服务,这里指定后authentication-failure-url就不生效, SimpleUrlAuthenticationFailureHandler

        -->

        <form-login

                login-page="/login.htm"

                username-parameter="username"

                password-parameter="password"

                login-processing-url="/spring-security-check"

                default-target-url="/user/welcome.htm"

                authentication-success-handler-ref="authenticationSuccessHandler"

                authentication-failure-url="/user/fail.htm"

                authentication-failure-handler-ref="authenticationFailHandler"

        />

        <!--禁用CSRF保护功能 默认开启-->

        <csrf disabled="true"/>

        <!--

        退出登录配置

            logout-url:退出登录提交的页面,默认j_spring_security_logout

            success-handler-ref: 成功退出登录的事件 LogoutSuccessHandler

        -->

        <logout logout-url="/spring_security_logout" success-handler-ref="logoutSuccessHandler" />

        <!--intercept-url定义了一个权限控制的规则。

                pattern:进行权限控制的url

                access:需要什么权限,以逗号分隔的角色列表,只需拥有其中的一个角色就能成功访问

            -->

        <intercept-url pattern="/" access="hasRole('role1')" />

        <intercept-url pattern="/*.htm" access="hasRole('role1')"/>

        <intercept-url pattern="/**/.htm" access="hasRole('role1')"/>

    </http>

    <!--开启权限注解支持 -->

    <global-method-security secured-annotations="enabled" jsr250-annotations="enabled"/>

    <beans:bean id="userService" class="com.yitop.feng.service.UserService"/>

    <beans:bean id="authenticationSuccessHandler" class="com.yitop.feng.service.security.AuthenticationSuccessHandlerImpl" />

    <beans:bean id="authenticationFailHandler" class="com.yitop.feng.service.security.AuthenticationFailHandlerImpl" />

    <!--

    authentication-manager元素指定了一个AuthenticationManager,其需要一个AuthenticationProvider来进行真正的认证,

    默认情况下authentication-provider对应一个UserDetailsService来获取用户信息(即查询数据库)。

    -->

    <authentication-manager>

        <authentication-provider user-service-ref="userService">

            <!--

            hash    指定密码加密方式 plaintext sha sha-256 md4 md5 {sha} {ssha}

                    加密算法  PasswordEncoder  实现类 plaintext PlaintextPasswordEncoder

                    sha                          ShaPasswordEncoder

                    sha-256                  ShaPasswordEncoder,使用时new ShaPasswordEncoder(256)

                    md4                         Md4PasswordEncoder

                    md5                         Md5PasswordEncoder

                    {sha}                       LdapShaPasswordEncoder

                    {ssha}                     LdapShaPasswordEncoder

            base64  表示是否需要对加密后的密码使用BASE64进行编码,默认是false

            -->

            <password-encoder hash="md5" base64="true"/>

        </authentication-provider>

    </authentication-manager>

</beans:beans>

url权限控制表达式

hasRole([role])                 当前用户是否拥有指定角色。

hasAnyRole([role1,role2])       多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回true。

hasAuthority([auth])            等同于hasRole

hasAnyAuthority([auth1,auth2])  等同于hasAnyRole

Principle                       代表当前用户的principle对象

authentication                  直接从SecurityContext获取的当前Authentication对象

permitAll                       允许所有

denyAll                         拒绝所有

注解功能

<!-- 开启注解功能 -->

<security:global-method-security jsr250-annotations="enabled"/>

@RolesAllowed({"ROLE_USER", "ROLE_ADMIN"})

public User find(int id) {

  System.out.println("find user by id............." + id);

  return null;

}

//允许ROLE_USER或ROLE_ADMIN使用find方法

//@PermitAll 允许所有

//@DenyAll  拒绝所有

spring-security(2)的更多相关文章

  1. Spring Security OAuth2 开发指南

    官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:htt ...

  2. spring mvc 和spring security配置 web.xml设置

    <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmln ...

  3. SPRING SECURITY JAVA配置:Web Security

    在前一篇,我已经介绍了Spring Security Java配置,也概括的介绍了一下这个项目方方面面.在这篇文章中,我们来看一看一个简单的基于web security配置的例子.之后我们再来作更多的 ...

  4. 【OAuth2.0】Spring Security OAuth2.0篇之初识

    不吐不快 因为项目需求开始接触OAuth2.0授权协议.断断续续接触了有两周左右的时间.不得不吐槽的,依然是自己的学习习惯问题,总是着急想了解一切,习惯性地钻牛角尖去理解小的细节,而不是从宏观上去掌握 ...

  5. spring security oauth2.0 实现

    oauth应该属于security的一部分.关于oauth的的相关知识可以查看阮一峰的文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html ...

  6. Spring Security(08)——intercept-url配置

    http://elim.iteye.com/blog/2161056 Spring Security(08)--intercept-url配置 博客分类: spring Security Spring ...

  7. Spring Security控制权限

    Spring Security控制权限 1,配置过滤器 为了在项目中使用Spring Security控制权限,首先要在web.xml中配置过滤器,这样我们就可以控制对这个项目的每个请求了. < ...

  8. Spring Security笔记:Hello World

    本文演示了Spring Security的最最基本用法,二个页面(或理解成二个url),一个需要登录认证后才能访问(比如:../admin/),一个可匿名访问(比如:../welcome) 注:以下内 ...

  9. Spring Security笔记:自定义Login/Logout Filter、AuthenticationProvider、AuthenticationToken

    在前面的学习中,配置文件中的<http>...</http>都是采用的auto-config="true"这种自动配置模式,根据Spring Securit ...

  10. spring session 和 spring security整合

    背景: 我要做的系统前面放置zuul. 使用自己公司提供的单点登录服务.后面的业务应用也是spring boot支撑的rest服务. 目标: 使用spring security管理权限包括权限.用户请 ...

随机推荐

  1. Linux动态共享库

    Linux操作系统上面的动态共享库大致分为三类:   一.操作系统级别的共享库和基础的系统工具库 libc.so, libz.so, libpthread.so等等,这些系统库会被放在/lib和/us ...

  2. Ubuntu 制作离线安装包

    2017-04-07 11:39:59 一.应用场景 Ubuntu在不能上网情况下,又需要安装软件或更新系统 二.离线安装包制作 在一台能正常上网的Ubuntu系统上,安装需要的软件包 $sudo a ...

  3. JavaScript修改注册表

    JavaScript修改注册表 2009-04-14 11:22:13|  分类: JS相关 |  标签: |字号大中小 订阅     注册表有关安全设置项的说明: 注册表路径: HKEY_CURRE ...

  4. sci-hub 下载地址更新

    #  2017-12-14 可用 http://www.sci-hub.tw/ 文献共享平台

  5. 2018.07.20 bzoj1614: Telephone Lines架设电话线(二分+最短路)

    传送门 这题直接做显然gg" role="presentation" style="position: relative;">gggg,看这数据 ...

  6. 36 The Benefits of Marriage 结婚的益处

    36 The Benefits of Marriage 结婚的益处 ①Being sociable looks like a good way to add years to your life.Re ...

  7. 【Unity】2.0 第2章 Unity编辑器和基本操作

    分类:Unity.C#.VS2015 创建日期:2016-03-26 本章要点: 1.掌握Unity 5.3.4编辑器视图和菜单项及其含义,这是入门的最基础部分,必须掌握. 2.了解最基本的操作,先学 ...

  8. public class 和class 的区别

     Java在编写类的时候可以使用两种方式定义类:     public class定义类:    class定义类:    如果一个类声明的时候使用了public class进行了声明,则类名称必须与 ...

  9. python编码(一)

    下面介绍一下python的编码机制,unicode, utf-8, utf-16, GBK, GB2312,ISO-8859-1等编码之间的转换. 1.自动识别字符串编码: #coding:utf8 ...

  10. x+y+z=n的正整数解

    题:x+y+z=n,其中(n>=3),求x,y,z的正整数解的个数根据图象法:x>=1,y>=1,x+y<=n-1