记录一下spring security的配置

配置详解

<?xml version="1.0" encoding="UTF-8"?>

<beans:beans xmlns="http://www.springframework.org/schema/security"

             xmlns:beans="http://www.springframework.org/schema/beans"

             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

             xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd

                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 指定登录页面不拦截 -->

    <http security="none" pattern="/login.htm"/>

    <http auto-config="true">

        <!--

            login-page  指定登录页面

            username-parameter  登录的用户名,默认是“j_username”

            password-parameter  登录的密码,默认是“j_password”

            login-processing-url  登录提交的页面,默认是“/j-spring-security-check”

            default-target-url  指定登录成功后跳转的界面

            authentication-success-handler-ref  指定登录成功后调用的服务,这里指定后default-target-url就不生效, AuthenticationSuccessHandler

            authentication-failure-url 指定登录失败后跳转的界面

            authentication-failure-handler-ref="authenticationFailHandler" 指定登录失败后调用的服务,这里指定后authentication-failure-url就不生效, SimpleUrlAuthenticationFailureHandler

        -->

        <form-login

                login-page="/login.htm"

                username-parameter="username"

                password-parameter="password"

                login-processing-url="/spring-security-check"

                default-target-url="/user/welcome.htm"

                authentication-success-handler-ref="authenticationSuccessHandler"

                authentication-failure-url="/user/fail.htm"

                authentication-failure-handler-ref="authenticationFailHandler"

        />

        <!--禁用CSRF保护功能 默认开启-->

        <csrf disabled="true"/>

        <!--

        退出登录配置

            logout-url:退出登录提交的页面,默认j_spring_security_logout

            success-handler-ref: 成功退出登录的事件 LogoutSuccessHandler

        -->

        <logout logout-url="/spring_security_logout" success-handler-ref="logoutSuccessHandler" />

        <!--intercept-url定义了一个权限控制的规则。

                pattern:进行权限控制的url

                access:需要什么权限,以逗号分隔的角色列表,只需拥有其中的一个角色就能成功访问

            -->

        <intercept-url pattern="/" access="hasRole('role1')" />

        <intercept-url pattern="/*.htm" access="hasRole('role1')"/>

        <intercept-url pattern="/**/.htm" access="hasRole('role1')"/>

    </http>

    <!--开启权限注解支持 -->

    <global-method-security secured-annotations="enabled" jsr250-annotations="enabled"/>

    <beans:bean id="userService" class="com.yitop.feng.service.UserService"/>

    <beans:bean id="authenticationSuccessHandler" class="com.yitop.feng.service.security.AuthenticationSuccessHandlerImpl" />

    <beans:bean id="authenticationFailHandler" class="com.yitop.feng.service.security.AuthenticationFailHandlerImpl" />

    <!--

    authentication-manager元素指定了一个AuthenticationManager,其需要一个AuthenticationProvider来进行真正的认证,

    默认情况下authentication-provider对应一个UserDetailsService来获取用户信息(即查询数据库)。

    -->

    <authentication-manager>

        <authentication-provider user-service-ref="userService">

            <!--

            hash    指定密码加密方式 plaintext sha sha-256 md4 md5 {sha} {ssha}

                    加密算法  PasswordEncoder  实现类 plaintext PlaintextPasswordEncoder

                    sha                          ShaPasswordEncoder

                    sha-256                  ShaPasswordEncoder,使用时new ShaPasswordEncoder(256)

                    md4                         Md4PasswordEncoder

                    md5                         Md5PasswordEncoder

                    {sha}                       LdapShaPasswordEncoder

                    {ssha}                     LdapShaPasswordEncoder

            base64  表示是否需要对加密后的密码使用BASE64进行编码,默认是false

            -->

            <password-encoder hash="md5" base64="true"/>

        </authentication-provider>

    </authentication-manager>

</beans:beans>

url权限控制表达式

hasRole([role])                 当前用户是否拥有指定角色。

hasAnyRole([role1,role2])       多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回true。

hasAuthority([auth])            等同于hasRole

hasAnyAuthority([auth1,auth2])  等同于hasAnyRole

Principle                       代表当前用户的principle对象

authentication                  直接从SecurityContext获取的当前Authentication对象

permitAll                       允许所有

denyAll                         拒绝所有

注解功能

<!-- 开启注解功能 -->

<security:global-method-security jsr250-annotations="enabled"/>

@RolesAllowed({"ROLE_USER", "ROLE_ADMIN"})

public User find(int id) {

  System.out.println("find user by id............." + id);

  return null;

}

//允许ROLE_USER或ROLE_ADMIN使用find方法

//@PermitAll 允许所有

//@DenyAll  拒绝所有

spring-security(2)的更多相关文章

  1. Spring Security OAuth2 开发指南

    官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:htt ...

  2. spring mvc 和spring security配置 web.xml设置

    <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmln ...

  3. SPRING SECURITY JAVA配置:Web Security

    在前一篇,我已经介绍了Spring Security Java配置,也概括的介绍了一下这个项目方方面面.在这篇文章中,我们来看一看一个简单的基于web security配置的例子.之后我们再来作更多的 ...

  4. 【OAuth2.0】Spring Security OAuth2.0篇之初识

    不吐不快 因为项目需求开始接触OAuth2.0授权协议.断断续续接触了有两周左右的时间.不得不吐槽的,依然是自己的学习习惯问题,总是着急想了解一切,习惯性地钻牛角尖去理解小的细节,而不是从宏观上去掌握 ...

  5. spring security oauth2.0 实现

    oauth应该属于security的一部分.关于oauth的的相关知识可以查看阮一峰的文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html ...

  6. Spring Security(08)——intercept-url配置

    http://elim.iteye.com/blog/2161056 Spring Security(08)--intercept-url配置 博客分类: spring Security Spring ...

  7. Spring Security控制权限

    Spring Security控制权限 1,配置过滤器 为了在项目中使用Spring Security控制权限,首先要在web.xml中配置过滤器,这样我们就可以控制对这个项目的每个请求了. < ...

  8. Spring Security笔记:Hello World

    本文演示了Spring Security的最最基本用法,二个页面(或理解成二个url),一个需要登录认证后才能访问(比如:../admin/),一个可匿名访问(比如:../welcome) 注:以下内 ...

  9. Spring Security笔记:自定义Login/Logout Filter、AuthenticationProvider、AuthenticationToken

    在前面的学习中,配置文件中的<http>...</http>都是采用的auto-config="true"这种自动配置模式,根据Spring Securit ...

  10. spring session 和 spring security整合

    背景: 我要做的系统前面放置zuul. 使用自己公司提供的单点登录服务.后面的业务应用也是spring boot支撑的rest服务. 目标: 使用spring security管理权限包括权限.用户请 ...

随机推荐

  1. iOS.Book.Effective Objective-C 2.0

    1. 中文翻译版 (更新中) https://github.com/HagerHu/effective-objective-c-2.0 2. Book的主页 和 代码主页 http://www.eff ...

  2. 彻底关闭win10的自动更新,一定要坚持看到最后一页

    https://jingyan.baidu.com/article/9faa7231e7b78b473c28cbb6.html 是否好使我还在测试,不好使的话,再跟新 2018-05-20 今天电脑又 ...

  3. jquery判断显示的元素并获取显示元素数据

    // 获取显示元素的数据 jQuery(this).find("a:visible").attr("href"); // 多级标签选择器 jQuery(&quo ...

  4. spring cloud--------------------HystrixCommand使用

    一.注解使用: (一)注解同步执行 1.注解开启断路器功能 @EnableCircuitBreaker 2.方法事例 @HystrixCommand(fallbackMethod = "er ...

  5. hdu-1026(bfs+优先队列)

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=1026 题意:输入n,m和一个n*m的矩阵, .表示通路: x表示墙: n表示有一个怪物,消灭它需要n个 ...

  6. UltraEdit配置

    1.如何在vivado中调用UltraEdit 1.语法高亮 支持不同的编程语言,但是要添加相就的文件,这样不同语言的关键字就可以高亮显示. 在高级-> 配置 –> 语法高亮,选择文档 2 ...

  7. GoogleStyle格式化代码

    <div class="iteye-blog-content-contain" style="font-size: 14px"></div&g ...

  8. 如何开发一个产品级的Node.js 应用

    介绍 Node.js是一个开源的javascript运行时环境.非常简单可以快速开发一个网络应用.这个平台运行在Linux.OSX和Windows,而且运行在这个平台上的应用都是用javascript ...

  9. 3D indoor map positioning with a smartphone image

    menu 1. 基于Tango的三维建模技术(SLAM)(视觉SLAM,RGBD单目深度摄像机+罗盘仪)导出或不导出->Android 三维游戏开发技术(普通Android手机) 2. 基于An ...

  10. codevs 1083

    这道题是看了人家大牛的解题报告: 对了,要说明一下,(A+B)&1 ,表示,判断(A+B)是奇数否? 下面给出代码: #include<iostream> #include< ...