2. 程式人生 > >Spring Security許可權管理框架

Spring Security許可權管理框架

阿新 發佈:2019-02-04

Spring Security

Spring Security是作為過濾器控制權限的,在web.xml中配置過濾器。

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter
 
-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
定義security配置
@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Autowired
    public void configureGlobalSecurity(AuthenticationManagerBuilder auth) throws
 
 Exception {
        auth.inMemoryAuthentication().withUser("bill").password("abc123").roles("USER");
        auth.inMemoryAuthentication().withUser("dba").password("root123").roles("ADMIN","DBA");
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
      http.authorizeRequests()
        .antMatchers("/"
 
, "/home").permitAll() 
        .antMatchers("/admin/**").access("hasRole('ADMIN')")
        .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")
        //使用and()新增新的配置選項
        //登入頁設定為允許所有使用者訪問
        .and().formLogin().loginPage("/login").permitAll()
        .and().exceptionHandling().accessDeniedPage("/Access_Denied");

    }
}

配置類需要@EnableWebSecurity、@EnableGlobalMethodSecurity、@EnableGlobalAuthentication中的一個標註。
access(“hasRole(‘ADMIN’)”) =access(“ROLE_ADMIN”)

configure()函式的配置對應XML為:

 <http auto-config="true">  
        <intercept-url pattern="/*" access="ROLE_USER" />  
        <form-login login-page="/" default-target-url="/" authentication-failure-url="/?                   login=error" />
        <logout logout-success-url="/" />
 </http>
環境初始化

1.單獨使用spring security,需要將MySecurityConfig傳入並構造初始化Security環境的例項。該類自動將應用中的每個url註冊到SpringSecurityFilterChain,並且載入Security的配置。

public class SecurityWebApplicationInitializer
    extends AbstractSecurityWebApplicationInitializer {

    public SecurityWebApplicationInitializer() {
        super(MySecurityConfig.class);
    }
}

2.如果專案中使用了Spring,則專案中存在初始化Web環境的類,這時將Spring Security註冊到已經存在的ApplicationContext中。

import org.springframework.security.web.context.*;

public class SecurityWebApplicationInitializer
    extends AbstractSecurityWebApplicationInitializer {

}

這個類將應用中的url註冊到SpringSecurityFilterChain。然後需要將MySecurityConfig載入到已經存在的程式上下文中。

public class SpringMvcInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[] { MySpringSecurityConfiguration.class };
    }
    @Override
    protected Class<?>[] getServletConfigClasses() {
        return null;
    }
    @Override
    protected String[] getServletMappings() {
        return new String[] { "/" };
    }
}
Security中的類

Authentication

Authentication介面表示使用者認證資訊,使用者登入認證之前相關資訊會封裝為一個Authentication具體實現類的物件,登入認證後會生成一個包含使用者許可權的Authentication物件,並儲存在SecurityContextHolder的Context中。

//獲得使用者名稱
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
String username=((UserDetails) principal).getUsername();

AuthenticationManager

AuthenticationManager是一個用來處理認證(Authentication)請求的介面。在其中只定義了一個方法authenticate(),該方法只接收一個代表認證請求的Authentication物件作為引數,如果認證成功,則會返回一個封裝了當前使用者許可權等資訊的Authentication物件進行返回。
AuthenticationManager的預設實現是ProviderManager,但是它不直接自己處理認證請求,而是委託給其所配置的AuthenticationProvider列表,然後會依次使用每一個AuthenticationProvider進行認證,如果有一個AuthenticationProvider認證後的結果不為null,則表示該AuthenticationProvider已經認證成功,之後的AuthenticationProvider將不再繼續認證。如果所有的AuthenticationProvider的認證結果都為null,則表示認證失敗,將丟擲一個ProviderNotFoundException。

     <authentication-manager>  
             //user-service-ref指定關聯哪個AuthenticationProvider,預設為DaoAuthenticationProvider
            <authentication-provider user-service-ref="">  
            </authentication-provider>  
    </authentication-manager>

預設情況下,認證成功後ProviderManager將清除返回的Authentication中的憑證資訊(密碼等),因此無法直接將Authentication快取用於以後的登入認證。一種辦法是設定ProviderManager的eraseCredentialsAfterAuthentication屬性為false。

相關推薦

Spring Security許可權管理框架

Spring Security Spring Security是作為過濾器控制權限的,在web.xml中配置過濾器。 <filter> <filter-name>springSecurityFilterChain</

Spring Security許可權管理相關配置加註解

<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2

Spring Security --- 許可權控制安全框架入門簡介

Spring Security — 許可權控制安全框架入門簡介 一、Spring Security簡介 Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中

Spring Security --- 許可權控制安全框架入門簡 介

Spring Security --- 許可權控制安全框架入門簡 介2018年09月20日 20:54:42 sunny2429 閱讀數:17 Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一

Spring安全許可權管理Spring Security的配置使用)

1.Spring Security簡要介紹Spring Security以前叫做acegi,是後來才成為Spring的一個子專案,也是目前最為流行的一個安全許可權管理框架,它與Spring緊密結合在一起。Spring Security關注的重點是在企業應用安全層為您提供服務,

spring boot後臺管理系統,spring security許可權控制

隨著spring boot的出現,java又上升了一個層次,以往tomcat部署war的形式也改變了,現在可以直接一個jar包、一行命令,真正實現一次編譯隨處執行的理念了。      閒暇之餘小威老師做了一個以spring boot為後臺,layui、bootstr

單點登入cas與許可權管理框架shiro整合-spring專案方式

       之前那篇文章介紹了普通web專案中單點登入cas與許可權管理框架shiro整合方式,這裡說下spring專案中的整合方式,首先還是配置一個filter Java程式碼   <filter>           <filter-name>shiroFilter&

spring boot中使用shiro許可權管理框架

  使用idea建立spring boot工程 勾選web裡的web依賴 , 因為spring boot裡有spri

基於spring的安全管理框架-Spring Security

什麼是spring security?   spring security是基於spring的安全框架.它提供全面的安全性解決方案,同時在Web請求級別和呼叫級別確認和授權.在Spring Framework基礎上,spring security充分利用了依賴注入(DI)和麵向切面程式設計(AOP)功能,為應

Spring Security權限框架理論與簡單Case

c-based db4 又能 出了 lte pen andro -o string Spring Security權限管理框架介紹 Spring Security 提供了基於javaEE的企業應用軟件全面的安全服務。這裏特別強調支持使用Spring框架構件的項目,Sprin

spring實戰-Spring-security許可權認證白名單

第九篇:spring實戰-Spring-security許可權認證白名單 當我們為程式設定許可權認證時,主要是希望能夠保護需要保護的功能,並不是說所有的功能都需要被保護起來,比如說系統主頁,幫助中心等等 此時我們可以通過白名單的方式,讓某些功能對未登入使用者公開,Spring-secur

SpringBoot整合Shiro許可權管理框架

專案目錄結構 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://

PHP -Casbin: 支援 ACL、RBAC、ABAC 多種模型的 PHP 許可權管理框架

PHP-Casbin 是一個用 PHP 語言打造的輕量級開源訪問控制框架( https://github.com/php-casbin/php-casbin ),目前在 GitHub 開源。PHP-Casbin 採用了元模型的設計思想,支援多種經典的訪問控制方案,如基於角色的訪問控制 RBAC、基於屬性的訪問

Springboot: Springboot + spring boot admin 監控 spring security許可權控制

Springboot admin 很好的提供了對Springboot的監控,但是不建議直接將admin整合到已有的專案中。於是我另起一個專案,考慮到不能讓所有人都能看到這些資料了,於是引入了spring security。   本次使用的是spring-boot-admin-s

Shiro許可權管理框架(1)

許可權管理:  1.什麼是許可權管理:基本上涉及到使用者參與的系統都要進行許可權管理,許可權管理屬於系統安全範疇,許可權管理實現對使用者訪問系統的控制,按照安全規則或者安全策略可以訪問而且只能訪問自己被授權的資源。    許可權管理包括使用者身份認證和授權兩

新手最強許可權管理框架——Shiro的簡易說明與開發配置

Apache Shiro是Java的一個安全框架。功能強大(強大......),使用簡單的Java安全框架,它為開發人員提供一個直觀而全面的認證,授權,加密及會話管理的解決方案。 實際上,Shiro的主要功能是管理應用程式中與安全相關的全部,同時儘可能支援多種實現方法。S

細粒度通用許可權管理框架(可控制表格行內按鈕)原始碼提供下載

特別宣告: 提供的原始碼已經包含了 AppBoxPro 的全部原始碼,用 VS2012 開啟專案後,直接 Ctrl+F5 可以執行起來(預設使用VS自帶的LocalDB資料庫)。 FineUIPro是商業程式,僅包含v1.7.0公測版的DLL;當然你也可以自行把 FineUIPro 換成 Fine

基於RBAC的許可權管理框架Shiro(1)框架簡介

Shiro是apache旗下一個開源框架,它將軟體系統的安全認證相關的功能抽取出來,實現使用者身份認證,許可權授權、加密、會話管理等功能,組成了一個通用的安全認證框架。也是當下比較主流的輕量級許可權管理框架。相較於spring security(原名Acegi)

SPRING-SECURITY安全Web框架配置

<pre name="code" class="html"><?xml version="1.0" encoding="UTF-8"?> <beans:beans xml

jCasbin:支援MAC、RBAC、ABAC多種模型的Java許可權管理框架

jCasbin是一個用Java語言打造的輕量級開源訪問控制框架(https://github.com/casbin/jcasbin),目前在GitHub開源。jCasbin採用了元模型的設計思想,支援多種經典的訪問控制方案,如基於角色的訪問控制RBAC、基於