2. 程式人生 > >spring-security簡單demo

spring-security簡單demo

阿新 發佈:2018-11-11

1、什麼是spring-security

Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Control ,DI:Dependency Injection 依賴注入)和AOP(面向切面程式設計)功能,為應用系統提供宣告式的安全訪問控制功能,減少了為企業系統安全控制編寫大量重複程式碼的工作。

2、為什麼用spring-security(有待補充)

 2.1許可權控制

2.2使用者授權

3、如何使用

3.1原理

首先,許可權管理離不開登陸驗證的,所以登陸驗證攔截器AuthenticationProcessingFilter要講;還有就是對訪問的資源管理吧,所以資源管理攔截器AbstractSecurityInterceptor要講;但攔截器裡面的實現需要一些元件來實現,所以就有了AuthenticationManager、accessDecisionManager等元件來支撐。

現在先大概過一遍整個流程,使用者登陸,會被AuthenticationProcessingFilter攔截,呼叫AuthenticationManager的實現,而且AuthenticationManager會呼叫ProviderManager來獲取使用者驗證資訊(不同的Provider呼叫的服務不同,因為這些資訊可以是在資料庫上,可以是在LDAP伺服器上,可以是xml配置檔案上等),如果驗證通過後會將使用者的許可權資訊封裝一個User放到spring的全域性快取SecurityContextHolder中,以備後面訪問資源時使用。

訪問資源(即授權管理),訪問url時,會通過AbstractSecurityInterceptor攔截器攔截,其中會呼叫FilterInvocationSecurityMetadataSource的方法來獲取被攔截url所需的全部許可權,在呼叫授權管理器AccessDecisionManager,這個授權管理器會通過spring的全域性快取SecurityContextHolder獲取使用者的許可權資訊,還會獲取被攔截的url和被攔截url所需的全部許可權,然後根據所配的策略(有:一票決定,一票否定,少數服從多數等),如果許可權足夠,則返回,許可權不夠則報錯並呼叫許可權不足頁面。

4、簡單demo(有待擴充套件)

a、建立工程

b、引入相關依賴

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>cn.xu</groupId>
    <artifactId>spring-security-demo</artifactId>


    <packaging>war</packaging>
    <version>1.0-SNAPSHOT</version>
    <properties>
        <spring.version>4.2.4.RELEASE</spring.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-core</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context-support</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-test</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-jdbc</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>
            <scope>provided</scope>
        </dependency>
    </dependencies>
    <build>
        <plugins>
            <!-- java編譯外掛 -->
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.2</version>
                <configuration>
                    <source>1.8</source>
                    <target>1.8</target>
                    <encoding>UTF-8</encoding>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.tomcat.maven</groupId>
                <artifactId>tomcat7-maven-plugin</artifactId>
                <configuration>
                    <!-- 指定埠 -->
                    <port>9090</port>
                    <!-- 請求路徑 -->
                    <path>/</path>
                </configuration>
            </plugin>
        </plugins>
    </build>
</project>

c、建立web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         version="2.5">
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring-security.xml</param-value>
    </context-param>
    <listener>
        <listener-class>
            org.springframework.web.context.ContextLoaderListener
        </listener-class>
    </listener>
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

d、建立spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
             xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                  http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">



    <!-- 以下頁面不被攔截 -->
    <http pattern="/login.html" security="none"></http>
    <http pattern="/login_error.html" security="none"></http>
    <!-- 頁面攔截規則 -->
    <http use-expressions="false">
        <intercept-url pattern="/*" access="ROLE_USER" />
        <form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>
        <csrf disabled="true"/>
    </http>

    <!-- intercept-url頁面攔截規則 -->

    <!-- 表示的是該目錄下的資源,只包括本級目錄不包括下級目錄
    表示的是該目錄以及該目錄下所有級別子目錄的資源-->

  <!--  <http use-expressions="false">
        <intercept-url pattern="/**" access="ROLE_USER" />
        <form-login/>
    </http>
-->
    <!-- 認證管理器 -->
    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="admin" password="123456" authorities="ROLE_USER"/>
            </user-service>
        </authentication-provider>
    </authentication-manager>
</beans:beans>

e、建立相關的頁面

(1)login.html

<!DOCTYPE html>
<html>
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
        <title>登陸</title>
    </head>
    <body>
        <form action='/login' method='POST'>
            <table>
                <tr>
                    <td>使用者名稱:</td>
                    <td>
                        <input type='text' name='username' value=''>
                    </td>
                </tr>
                <tr>
                    <td>密碼:</td>
                    <td>
                        <input type='password' name='password'/>
                    </td>
                </tr>
                <tr>
                    <td colspan='2'>
                        <input name="submit" type="submit"
                               value="登陸"/>
                    </td>
                </tr>
            </table>
        </form>
    </body>
</html>

(2)index.html

<!DOCTYPE html>
<html>
    <head>
        <meta charset="UTF-8">
        <title>首頁</title>
    </head>
    <body>
        歡迎進入神奇的spring security世界~~~
    </body>
</html>


(3)login_error.html

<!DOCTYPE html>
<html>
    <head>
        <meta charset="UTF-8">
        <title>首頁</title>
    </head>
    <body>
        error
    </body>
</html>

==============通過外掛啟動,嘗試登入===============有待完善







相關推薦

spring-security簡單demo

1、什麼是spring-security Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Contr

Spring Security 簡單的用戶權限判斷

Spring Security 簡單的用1.URL過濾: <http> <intercept-url pattern="/**" access="hasRole('USER')" /> <form-login /&g

Spring Security簡單的登陸驗證授權

end 黑板 其中 ack ryu ssa enable 靈活 else Spring Security的介紹就省略了,直接記錄一下登陸驗證授權的過程。 Spring Security的幾個重要詞 1.SecurityContextHolder:是安全上下文容器,可以在此得

Spring Security簡單實現自定義退出功能

1.前端頁面寫法 <a href="javascript:;" onclick="logoutBackground()">退出</a> 2.js /** * 退出後臺 */ function logoutBackground() { $.get("/

springboot和spring security簡單使用

整理自是尚矽谷springboot高階 配置類(最重要的了) @EnableWebSecurity//這個註解組合註解裡面有@Configuration 所以不要配置@Configuration public class SecurityConfig extends WebSecurityC

spring security簡單介紹

這裡是修真院後端小課堂,每篇分享文從 【背景介紹】【知識剖析】【常見問題】【解決方案】【編碼實戰】【擴充套件思考】【更多討論】【參考文獻】 八個方面深度解析後端知識/技能,本篇分享的是: 【spring security簡單介紹】   大家好,我是IT修真院北京分院

Spring Security 簡單實現使用者登陸

Spring Security 實現使用者登陸 本文僅介紹Spring Security的基本使用。 Spring Security簡介 Spring Security 基於 Spring 框架,提供了一套 Web 應用安全性的完整解決方案。Web 應用的安全性包括使用者認證(A

spring security入門demo

filter 註意 分析 ali 緩存 decision else fix 很多 一、前言 因項目需要引入spring security權限框架,而之前也沒接觸過這個一門,於是就花了點時間弄了個小demo出來,說實話,剛開始接觸這個確實有點懵,看網上資料寫的權限大都是靜

Spring Security OAuth2 Demo —— 授權碼模式

本文可以轉載,但請註明出處https://www.cnblogs.com/hellxz/p/oauth2_oauthcode_pattern.html 寫在前邊 在文章OAuth 2.0 概念及授權流程梳理 中我們談到OAuth 2.0的概念與流程,這裡我準備分別記一記這幾種授權模式的demo,一方面為自己的

Spring Security OAuth2 Demo —— 隱式授權模式(Implicit)

本文可以轉載,但請註明出處https://www.cnblogs.com/hellxz/p/oauth2_impilit_pattern.html 寫在前面 在文章OAuth 2.0 概念及授權流程梳理 中我們談到OAuth 2.0的概念與流程,上一篇文章Spring Security OAuth2 Demo

Spring Security OAuth2 Demo —— 密碼模式(Password)

前情回顧 前幾節分享了OAuth2的流程與授權碼模式和隱式授權模式兩種的Demo,我們瞭解到授權碼模式是OAuth2四種模式流程最複雜模式,複雜程度由大至小:授權碼模式 > 隱式授權模式 > 密碼模式 > 客戶端模式 其中密碼模式的流程是:讓使用者填寫表單提交到授權伺服器,表單中包含使用者的

spring-security-結合JWT的簡單demo

[github原始碼地址](https://github.com/ghdefe/spring-security-demo) # spring-security-demo *前言:本來是想盡量簡單簡單點的寫一個demo的,但是spring-security實在是內容有點多,寫著寫著看起來就沒那麼簡單了,想入門s

spring security簡單應用

location factory wire contex 頁面 pub users 成功 locked 本文只包涵spring security配置部分,不是一個完整項目,不過可以任意添加到一個web項目中,不需要對原來的程序做任何修改 部分內容來源於網絡,如有雷同,毫無意

Spring Security權限框架理論與簡單Case

c-based db4 又能 出了 lte pen andro -o string Spring Security權限管理框架介紹 Spring Security 提供了基於javaEE的企業應用軟件全面的安全服務。這裏特別強調支持使用Spring框架構件的項目,Sprin

Spring mvc i18n國際化的簡單demo

在渲染檢視的xml檔案中,配置一個i18nBean    @Controller package com.oukele.web; import org.springframework.beans.factory.annotation.Autowired; import org

spring boot 簡單mvc demoSpring boot示例

Spring boot示例。只做了一個查詢功能,專案目錄結構,使用eclipse建立的spring starter project專案。沒做其他改動。 pom.xml <parent> <groupId>org.springframework.boot&l

spring security與 shiro的 簡單對比

spring security 介面 RequestMatcher 用於匹配路徑,對路徑做特殊的請求,類似於shiro的 抽象類 PathMatchingFilter,但是 RequestMatcher 作用粒度更細,例如可只另某些路徑受 csrf保護,spring se

Spring快速搭建環境及簡單demo

1.有合適的jdk以及eclipse,下載好完整的spring jar包 2.新建一個網頁工程 Dynamic  Web Project 3.匯入jar包,將jar包複製到lib資料夾下 4.新建一個包,其中兩個類,一個為配置到spring中用,一個用來測試,這裡將

Spring boot 簡單demo

1.開啟idea,建立新專案:Spring Initializr 2. Group和Artifact可用預設的。建議Packaging選Jar。 點選next 3.Spring boot 選1.5.版本 Web選Web選項 點選next->finash

spring-boot整合spring-security實現簡單登入(ajax登入實現)

平常再做一些專案時,有些專案並不需要複雜的登入許可權驗證 只需要簡單登入許可權驗證(保證安全可靠的前提下),找來找去只有spring-security最適合不過了,在spring-boot下配置簡單 便捷 快速 能滿足基本的登入許可權控制需求。 第一步:引入spring