1、Spring Security 简介

  Spring Security 是一个能够基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置 Bean ,充分利用了 Spring IoC,DI 和 AOP 功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

2、Spring Security 入门小 demo

  a、最简单 demo

    1)、创建工程 spring-security-demo ,pom.xml 内容为:

      

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <groupId>cn.itcast.demo</groupId>

    <artifactId>spring-security-demo</artifactId>

    <packaging>war</packaging>

    <version>0.0.1-SNAPSHOT</version>

    <properties>

        <spring.version>4.2.4.RELEASE</spring.version>

    </properties>

    <dependencies>

        <dependency>

            <groupId>org.springframework</groupId>

            <artifactId>spring-core</artifactId>

            <version>${spring.version}</version>

        </dependency>

        <dependency>

            <groupId>org.springframework</groupId>

            <artifactId>spring-web</artifactId>

            <version>${spring.version}</version>

        </dependency>

        <dependency>

            <groupId>org.springframework</groupId>

            <artifactId>spring-webmvc</artifactId>

            <version>${spring.version}</version>

        </dependency>

        <dependency>

            <groupId>org.springframework</groupId>

            <artifactId>spring-context-support</artifactId>

            <version>${spring.version}</version>

        </dependency>

        <dependency>

            <groupId>org.springframework</groupId>

            <artifactId>spring-test</artifactId>

            <version>${spring.version}</version>

        </dependency>

        <dependency>

            <groupId>org.springframework</groupId>

            <artifactId>spring-jdbc</artifactId>

            <version>${spring.version}</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.security</groupId>

            <artifactId>spring-security-web</artifactId>

            <version>4.1.0.RELEASE</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.security</groupId>

            <artifactId>spring-security-config</artifactId>

            <version>4.1.0.RELEASE</version>

        </dependency>

        <dependency>

            <groupId>javax.servlet</groupId>

            <artifactId>servlet-api</artifactId>

            <version>2.5</version>

            <scope>provided</scope>

        </dependency>

    </dependencies>

    <build>

      <plugins>

          <!-- java编译插件 -->

          <plugin>

                <groupId>org.apache.maven.plugins</groupId>

                <artifactId>maven-compiler-plugin</artifactId>

                <version>3.2</version>

                <configuration>

                    <source>1.7</source>

                    <target>1.7</target>

                    <encoding>UTF-8</encoding>

                </configuration>

          </plugin>

          <plugin>

                <groupId>org.apache.tomcat.maven</groupId>

                <artifactId>tomcat7-maven-plugin</artifactId>

                <configuration>

                    <!-- 指定端口 -->

                    <port>9090</port>

                    <!-- 请求路径 -->

                    <path>/</path>

                </configuration>

            </plugin>

       </plugins>

    </build>

</project>

    spring-security 框架主要依赖于 spring-security-web 和 spring-security-config 两个包(还需依赖 spring 相关包)。

    2)、创建 web.xml

      

<?xml version="1.0" encoding="UTF-8"?>

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xmlns="http://java.sun.com/xml/ns/javaee"

    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"

    version="2.5">

     <context-param>

        <param-name>contextConfigLocation</param-name>

        <param-value>classpath:spring-security.xml</param-value>

     </context-param>

     <listener>

        <listener-class>

            org.springframework.web.context.ContextLoaderListener

        </listener-class>

     </listener>

     <filter>

        <filter-name>springSecurityFilterChain</filter-name>          
     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

     </filter>

     <filter-mapping>

        <filter-name>springSecurityFilterChain</filter-name>

        <url-pattern>/*</url-pattern>

     </filter-mapping>

</web-app>

    spring-security 利用 spring 的过滤器代理类 org.springframework.web.filter.DelegatingFilterProxy 实现对请求的过滤,然后将请求交给 springSecurityFilterChain 这个类来具体处理请求(springSecurityFilterChain 这个类的名字是 spring-security内置的,不能改变)。该 web.xml 的配置就是 spring-security 的入口。

    3)、创建 index.xml

    

<!DOCTYPE html>

<html>

<head>

<meta charset="UTF-8">

<title>首页</title>

</head>

<body>

欢迎进入神奇的spring security世界~~~

</body>

</html>

    4)、创建 spring 配置文件 spring-security.xml

    





<?xml version="1.0" encoding="UTF-8"?>

<beans:beans xmlns="http://www.springframework.org/schema/security"

    xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd

                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 页面拦截规则 -->

    <http use-expressions="false">

        <intercept-url pattern="/**" access="ROLE_USER" />

        <form-login/>

    </http>

    <!-- 认证管理器 -->

    <authentication-manager>

        <authentication-provider>

            <user-service>

                <user name="admin" password="123456" authorities="ROLE_USER"/>

            </user-service>

        </authentication-provider>

    </authentication-manager>

</beans:beans>






 




    此案例没有登录页,使用了系统自动生成的登录页,效果如下:


    


    配置说明:


    http:配置页面拦截规则


    http 中的配置:


      use-expression:是否启用SPEL表达式;true为启用(默认为 true);false 为不启用;


      <intercept-url pattern=" " /> :pattern :配置要拦截的资源; /* 表示的是该目录下的资源,只包括本级目录不包括下级目录;


                                 /** 表示的是该目录以及该目录下所有级别子目录的资源


                    access:配置角色名称:要求必须以 ROLE_ 开头


      <form-login />:开启表单登录功能


      form-login 中的配置:


        login-page:指定登录页面


        authentication-failure-url:指定了身份验证失败时跳转到的页面


        default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面


        always-use-default-target:指定了是否在身份通过验证后总是跳转到 default-target-url 指定的URL


      <logout/> :加此配置后,会自动的产生退出登录的地址 /logout,如果不想用这个地址,可以自定义生成的退出地址以及跳转的页面


      logout 中的配置:


        logout-url:退出的地址,会自动生成


        logout-success-url:退出后跳转的地址


    authentication-manager:认证管理器


    authentication-manager 中的配置:


      <authentication-provider>:认证的提供者


      <authentication-provider> 中的配置


        <user-serivce>


        <user-serivce> 中的配置:


          <user>:配置当前系统的用户


          <user> 中的配置:


            name:用户的名称(用户登录时使用的用户名)


            password:用户的密码(用户登录时使用的密码)


            authorities:指定当前用户对应的角色(对应access 中的角色名)


  b、自定义登录页


    实际开发中,我们不可能使用系统生成的登录页,而是使用我们自己的登录页


    1)、构建登录页


    




<!DOCTYPE html>

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

<title>登陆</title>

</head>

<body>

    <form action='/login' method='POST'>

        <table>

            <tr>

                <td>用户名:</td>

                <td><input type='text' name='username' value=''></td>

            </tr>

            <tr>

                <td>密码:</td>

                <td><input type='password' name='password' /></td>

            </tr>

            <tr>

                <td colspan='2'><input name="submit" type="submit"

                    value="登陆" /></td>

            </tr>

        </table>

    </form>

</body>

</html>




    说明:action 中的的路径 "/login" 是 spring-security 提供的路径(若想修改,可以修改配置文件中的 form-login 中 的login-processing-url 属性 ),


        登录成功会定向自己到设置的主页,登录失败会定向到设置的错误页。


        method 方式必须为 "post"。


        input 中的 name 默认是为 username 和 password ,若想修改,可以修改配置文件中的 form-login 中的 username-parameter 和 password-parameter属性


    2)、构建错误页


      




<!DOCTYPE html>

<html>

<head>

<meta charset="UTF-8">

<title>首页</title>

</head>

<body>

用户名或密码错误~~~

</body>

</html>




    3)、修改 spring 配置文件 spring-security.xml


    




<!-- 以下页面不被拦截 -->

    <http pattern="/login.html" security="none"></http>

    <http pattern="/login_error.html" security="none"></http>

    <!-- 页面拦截规则 -->

    <http use-expressions="false">

        <intercept-url pattern="/*" access="ROLE_USER" />

        <form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>

        <csrf disabled="true"/>

    </http>




    说明:seurity = "none" 设置此资源不被拦截


       如果没有设置登录页 security = "none" ,将会出现以下错误


        


        因为登录页会反复的被重定向


        配置说明:


          csrf disable="true" 关闭 csrf ,否则会出现错误


          


          如果在系统中使用了框架页(例如:iframe),需要设置框架页的策略为 SAMEORIGIN


          
												


											
spring-security 配置简介的更多相关文章
	

    
						
  1. spring boot 之 spring security 配置
		
    Spring Security简介 之前项目都是用shiro,但是时过境迁,spring security变得越来越流行.spring security的前身是Acegi, acegi 我也玩过,那都 ...
    
		
    2. 
						
  2. Spring Security LDAP简介
		
    1.概述 在本快速教程中,我们将学习如何设置Spring Security LDAP. 在我们开始之前,了解一下LDAP是什么? - 它代表轻量级目录访问协议.它是一种开放的,与供应商无关的协议,用于 ...
    
		
    3. 
						
  3. spring security 配置多个AuthenticationProvider
		
    前言 发现很少关于spring security的文章,基本都是入门级的,配个UserServiceDetails或者配个路由控制就完事了,而且很多还是xml配置,国内通病...so,本文里的配置都是 ...
    
		
    4. 
						
  4. Spring学习日志之Spring Security配置
		
    依赖引入 <dependency> <groupId>org.springframework.security</groupId> <artifactId&g ...
    
		
    5. 
						
  5. Spring Security配置
		
    更加优雅地配置Spring Securiy(使用Java配置和注解):https://www.cnblogs.com/xxzhuang/p/5960001.html 采用注解方式实现security: ...
    
		
    6. 
						
  6. 1. Spring Security  框架简介
		
    官网:https://projects.spring.io/spring-security/Spring Security 是强大的,且容易定制的实现认证,与授权的基于 Spring 开发的框架.Sp ...
    
		
    7. 
						
  7. Spring Security配置个过滤器也这么卷
		
    以前胖哥带大家用Spring Security过滤器实现了验证码认证,今天我们来改良一下验证码认证的配置方式,更符合Spring Security的设计风格,也更加内卷. CaptchaAuthent ...
    
		
    8. 
						
  8. spring mvc 和spring security配置 web.xml设置
		
    <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmln ...
    
		
    9. 
						
  9. 通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题
		
    spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前 ...
    
		
    10. 
						
  10. spring mvc 和spring security配置 spring-servlet.xml和spring-security.xml设置
		
    spring-servlet.xml配置 <?xml version="1.0" encoding="UTF-8"?> <beans xmln ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. [源码解析] TensorFlow 分布式之 MirroredStrategy 分发计算
			
    [源码解析] TensorFlow 分布式之 MirroredStrategy 分发计算 目录 [源码解析] TensorFlow 分布式之 MirroredStrategy 分发计算 0x1. 运行 ...
    
			
    2. 
						
  2. K8s 如何提供更高效稳定的编排能力?K8s Watch 实现机制浅析
			
    关于我们 更多关于云原生的案例和知识,可关注同名[腾讯云原生]公众号~ 福利: ①公众号后台回复[手册],可获得<腾讯云原生路线图手册>&<腾讯云原生最佳实践>~ ②公 ...
    
			
    3. 
						
  3. 在Ubuntu安装eclipse环境
			
    下载准备 1安装jdk,笔者安装的是jdk-8u121-linux-x64 2安装eclipse,下载地址:http://www.eclipse.org/downloads/packages/ecli ...
    
			
    4. 
						
  4. 3D打印CLI文件格式的读取
			
    CLI 英文全称:COMMON LAYER INTERFACE 中文名称:通用层接口. 推荐从官方网址看一下其完整的内容: (https://www.hmilch.net/downloads/cli_ ...
    
			
    5. 
						
  5. 实战| Nginx+keepalived 实现高可用集群
			
    一个执着于技术的公众号 前言 今天通过两个实战案例,带大家理解Nginx+keepalived 如何实现高可用集群,在学习新知识之前您可以选择性复习之前的知识点: 给小白的 Nginx 10分钟入门指 ...
    
			
    6. 
						
  6. IT人的修炼之路
			
    前言 计算机技术更新迭代的速度太快了,作为ITer每天除了面对工作,就要学习新技术,自己的感觉是一直在为技术疲于奔命,直到现在,也不敢放缓脚步.程序员每天必须抽出一定时间学习新技术,避免被淘汰. 1. ...
    
			
    7. 
						
  7. 【Azure Developer】使用Azure PubSub服务示例代码时候遇见了.NET 6.0的代码转换问题
			
    问题描述 当本地环境中安装.NET 6.0后,用指令 dotnet new web 或  dotnet new console 生成的项目,使用的都是新模板生成的Program.cs文件.里面去掉了n ...
    
			
    8. 
						
  8. 767. Reorganize String - LeetCode
			
    Question 767. Reorganize String Solution 题目大意: 给一个字符串,将字符按如下规则排序,相邻两个字符一同,如果相同返回空串否则返回排序后的串. 思路: 首先找 ...
    
			
    9. 
						
  9. 637. Average of Levels in Binary Tree - LeetCode
			
    Question 637. Average of Levels in Binary Tree Solution 思路:定义一个map,层数作为key,value保存每层的元素个数和所有元素的和,遍历这 ...
    
			
    10. 
						
  10. TyepScript学习
			
    前提 JS缺陷 (1)变量频繁变换类型,类型不明确难以维护 TS定义 (1)定义 以JavaScript为基础构建的语音,一个JavaScript的超集,扩展js添加了类型, 可以在任何支持js的平台 ...
    
			
    11.