本文只包涵spring security配置部分,不是一个完整项目,不过可以任意添加到一个web项目中,不需要对原来的程序做任何修改

部分内容来源于网络,如有雷同,毫无意外

1、xml配置文件

<?xml version="1.0" encoding="UTF-8"?>

<beans:beans xmlns="http://www.springframework.org/schema/security"

    xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xmlns:context="http://www.springframework.org/schema/context"

    xsi:schemaLocation="http://www.springframework.org/schema/beans

http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

http://www.springframework.org/schema/security

http://www.springframework.org/schema/security/spring-security-3.1.xsd">

    <global-method-security pre-post-annotations="enabled">

    </global-method-security>

    <!-- 不拦截的路径 -->

    <http pattern="/registerPage" security="none" />

    <http pattern="/mainPage" security="none"></http>

    <http pattern="/item/itemid**" security="none"></http>

    <http pattern="/css/**" security="none" />

    <http pattern="/font/**" security="none" />

    <http pattern="/images/**" security="none" />

    <http pattern="/js/**" security="none" />

    <http auto-config="true">

        <!-- 登录配置 -->

        <form-login login-page="/loginPage"

            authentication-failure-url="/login/failure"

            login-processing-url="/login"

            authentication-success-handler-ref="mySuccessHandler"

            username-parameter="username"

            password-parameter="password" />

        <!-- 用户登出 -->

        <logout invalidate-session="true" logout-success-url="/loginPage"

            logout-url="/logout" />

        <!-- 拦截页面 -->

        <intercept-url pattern="/item/**" access="ROLE_USER" />

        <intercept-url pattern="/admin/**" access="ROLE_USER" />

    </http>

    <!-- 登录成功的处理方法 -->

    <beans:bean id="mySuccessHandler" class="security.LoginSuccessHandle" ></beans:bean>

    <!-- 获取UserDettail的bean -->

    <beans:bean id="UserDetailService" class="security.MyUserDetailService"></beans:bean>

    <!-- 在这里也是一个大坑,查询网上的文章,这里都是引用的实现了UserDetailsService的类 -->

    <beans:bean id="UserService" class="security.SecurityProvider"></beans:bean>

    <authentication-manager>

        <authentication-provider ref="UserService">

        </authentication-provider>

    </authentication-manager>

</beans:beans>

2、用户权限信息类

省略相关数据库代码以及dao层代码

package po;

public class UserRole {

    private String username;

    private String password;

    private String role;

    public UserRole(String username, String password, String role) {

        super();

        this.username = username;

        this.password = password;

        this.role = role;

    }

    public String getUsername() {

        return username;

    }

    public void setUsername(String username) {

        this.username = username;

    }

    public String getPassword() {

        return password;

    }

    public void setPassword(String password) {

        this.password = password;

    }

    public String getRole() {

        return role;

    }

    public void setRole(String role) {

        this.role = role;

    }

}

3、MyUserDetail类,实现UserDetail接口,包含用户信息和用户权限类型

package security;

import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.userdetails.UserDetails;

import po.UserRole;

public class MyUserDetail implements UserDetails {

    /**

     *

     */

    private static final long serialVersionUID = -5619502406659516775L;

    private UserRole myUser;

    private Collection<? extends GrantedAuthority> authorities;

    public MyUserDetail(UserRole user,Collection<? extends GrantedAuthority> authorities) {

        this.myUser = user;

        this.authorities = authorities;

    }

    public Collection<? extends GrantedAuthority> getAuthorities() {

        return authorities;

    }

    public UserRole getMyUser() {

        return myUser;

    }

    public String getPassword() {

        return myUser.getPassword();

    }

    public String getUsername() {

        return myUser.getUsername();

    }

    public boolean isAccountNonExpired() {

        return false;

    }

    public boolean isAccountNonLocked() {

        return false;

    }

    public boolean isCredentialsNonExpired() {

        return false;

    }

    public boolean isEnabled() {

        return false;

    }

}

4、MyUserDetailService类,实现UserDetailsService接口,用来获取一个UserDetail对象

package security;

import java.util.ArrayList;

import java.util.Collection;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.authority.SimpleGrantedAuthority;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.stereotype.Service;

import mapper.UserRoleMapper;

import po.UserRole;

@Service

public class MyUserDetailService implements UserDetailsService  {

    @Autowired

    UserRoleMapper userdao;

    public UserDetails loadUserByUsername(String username)

            throws UsernameNotFoundException {

        UserRole user =userdao.getUserByName(username);

        if(user==null)

        {

            throw new  UsernameNotFoundException("找不到该用户");

        }

//        Collection<GrantedAuthority> grantedAuthorities = new ArrayList<>();

//        SimpleGrantedAuthority grantedAuthority = new SimpleGrantedAuthority(role);

//        grantedAuthorities.add(grantedAuthority);

        return new MyUserDetail(user, getAuthorities(user.getRole()));

    }

    private Collection<GrantedAuthority> getAuthorities(String role) {

        Collection<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority>();

        SimpleGrantedAuthority grantedAuthority = new SimpleGrantedAuthority(role);

        grantedAuthorities.add(grantedAuthority);

        return grantedAuthorities;

    }

}

5、SecurityProvider类,实现了AuthenticationProvider,返回一个UsernamePasswordAuthenticationToken

package security;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.authentication.AuthenticationProvider;

import org.springframework.security.authentication.BadCredentialsException;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;

import org.springframework.security.core.Authentication;

import org.springframework.security.core.AuthenticationException;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

public class SecurityProvider implements AuthenticationProvider {

    @Autowired

    private MyUserDetailService userDetailsService;

    public Authentication authenticate(Authentication authentication)

            throws AuthenticationException {

        UsernamePasswordAuthenticationToken token = (UsernamePasswordAuthenticationToken) authentication;

        UserDetails userDetails = userDetailsService.loadUserByUsername(token.getName());

        if (userDetails == null) {

            throw new UsernameNotFoundException("找不到该用户");

        }

        if(!userDetails.getPassword().equals(token.getCredentials().toString()))

        {

              throw new BadCredentialsException("用户密码错误");

        }

        return new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(),userDetails.getAuthorities());

    }

    public boolean supports(Class<?> authentication) {

        return UsernamePasswordAuthenticationToken.class.equals(authentication);

    }

}

6、登录成功后自定义处理过程

spring security可以在配置文件中设置登录成功后的跳转页面,或者是直接返回认证前想要访问的页面,但是因为有时候用户是使用ajax请求登录,所以需要自定义一些操作,我是在登录成功后跳转到控制层url,

在url中携带需要跳转的参数,然后在控制层中将url参数返回到ajax,再由前端重新请求控制层跳转

package security;

import java.io.IOException;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.InitializingBean;

import org.springframework.security.core.Authentication;

import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import org.springframework.security.web.savedrequest.HttpSessionRequestCache;

import org.springframework.security.web.savedrequest.RequestCache;

import org.springframework.security.web.savedrequest.SavedRequest;

public class LoginSuccessHandle implements AuthenticationSuccessHandler, InitializingBean {

    private RequestCache requestCache = new HttpSessionRequestCache();

    @Override

    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authen)

            throws IOException, ServletException {

        SavedRequest savedRequest = requestCache.getRequest(request, response);

        // 默认认证后跳转路径

        String targetUrl = "/mainPage";

        // 如果登录前有请求为拦截页面,则验证后跳转到该页面

        if (savedRequest != null) {

            targetUrl = savedRequest.getRedirectUrl();

        }

        // 跳转到认证成功处理控制器

        response.sendRedirect("/loginSuccess?url=" + targetUrl);

    }

    @Override

    public void afterPropertiesSet() throws Exception {

    }

}

spring security的简单应用的更多相关文章

  1. spring security实现简单的url权限拦截

    在一个系统中,权限的拦截是很常见的事情,通常情况下我们都是基于url进行拦截.那么在spring security中应该怎么配置呢. 大致步骤如下: 1.用户登录成功后我们需要拿到用户所拥有的权限,并 ...

  2. Spring Security:简单的保护一个SpringBoot应用程序(总结)

    Spring Security 在 Java类中的配置 在 Spring Security 中使用 Java配置,可以轻松配置 Spring Security 而无需使用 XML . 在Spring ...

  3. Spring Security之简单举例

    核心功能 Spring Security提供了三个核心的功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 一个简单例子 默认情况 在前面的开发中,都是将spring securit ...

  4. Spring Boot 2.0 利用 Spring Security 实现简单的OAuth2.0认证方式1

    0. 前言 之前帐号认证用过自己写的进行匹配,现在要学会使用标准了.准备了解和使用这个OAuth2.0协议. 1. 配置 1.1 配置pom.xml 有些可能会用不到,我把我项目中用到的所有包都贴出来 ...

  5. Spring Boot 2.0 利用 Spring Security 实现简单的OAuth2.0认证方式2

    0.前言 经过前面一小节已经基本配置好了基于SpringBoot+SpringSecurity+OAuth2.0的环境.这一小节主要对一些写固定InMemory的User和Client进行扩展.实现动 ...

  6. spring security简单教程以及实现完全前后端分离

    spring security是spring家族的一个安全框架,入门简单.对比shiro,它自带登录页面,自动完成登录操作.权限过滤时支持http方法过滤. 在新手入门使用时,只需要简单的配置,即可实 ...

  7. Spring Security OAuth2 SSO

    通常公司肯定不止一个系统,每个系统都需要进行认证和权限控制,不可能每个每个系统都自己去写,这个时候需要把登录单独提出来 登录和授权是统一的 业务系统该怎么写还怎么写 最近学习了一下Spring Sec ...

  8. 【Spring】12、Spring Security 四种使用方式

    spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1.不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo: ...

  9. Spring Security 源码解析(一)

    上篇 Spring Security基本配置已讲述了Spring Security最简单的配置,本篇将开始分析其基本原理 在上篇中可以看到,在访问 http://localhost:18081/use ...

随机推荐

  1. ADALINE小demo

    线性逼近 clear;clc;close all x = [1,0.5; 1.5,1.1; 3,3; -1.2,-1]; y = x(:,2); x = [ones(size(x,1),1),x(:, ...

  2. (转)JDK安装配置教程

    转自:http://jingyan.baidu.com/article/bea41d435bc695b4c41be648.html JDK作为JAVA开发的环境,不管是做JAVA开发的学生,还是做安卓 ...

  3. MySQL中数据的基本查询方式

    1.查询所有列 select * from 表名称; 2.查询指定列 select 字段名,字段名,字段名 from 表名称; 3.查询时添加常量列(临时备注) select 字段名,字段名,字段名, ...

  4. Scala_数据结构

    数据结构 容器(Collection) Scala提供了一套丰富的容器(collection)库,包括列表 (List).数组(Array).集合(Set).映射(Map)等 根据容器中元素的组织方式 ...

  5. POJ3666 线性dp_离散化_贪心

    POJ3666 线性dp_离散化_贪心 就DP而言这个题不算难,但是难就难在贪心,还有离散化的思想上 题目大意:n个土堆,问你最少移动多少单位的图,可以使得这n个土堆变成单调的 dp[i][j]表示前 ...

  6. Eclipse新建工作空间,复制原有的配置

    步骤一: File->Switch workspace->Other...,按下图选择 只复制简单的配置,如cvs之类的信息是不会复制的.     步骤二: 在方法一的基础上做如下操作  ...

  7. 如何处理由Dll缺失造成的程序直接崩溃的问题。

    问题描述:在开发一个上位机程序时(C#.winform),使用到了Kvaser的SDK,而这个SDK是基于对应的Kvaser驱动开发的.当前PC如果没有装Kvaser驱动, 程序启动时,会直接奔溃.调 ...

  8. 【转】PowerDesigner code、name显示设置 及 同时显示办法

    原文地址:http://blog.csdn.net/fy_hanxu/article/details/52468927 菜单->Tool->Model Options->Name C ...

  9. Spring Boot中使用@Scheduled创建定时任务

    我们在编写Spring Boot应用中经常会遇到这样的场景,比如:我需要定时地发送一些短信.邮件之类的操作,也可能会定时地检查和监控一些标志.参数等. 创建定时任务 在Spring Boot中编写定时 ...

  10. java 路径的问题

    在项目开发中会碰到各种各样的获取项目路径的一些问题: 1:java项目: 以获取  类路径下的mess.properties 为例来说明: 文件在项目中的位置: src/bz/beppe/demo/r ...