Spring Security-自定义配置Filter
自定义配置Filter
一.最基础的配置
SecurityContextPersistenceFilter
用来建立 SecurityContext,而它被用来贯穿整个 request 过程以跟踪请求者的认证信息。
<bean id="securityContextPersistenceFilter"
class="org.springframework.security.web.context.SecurityContextPersistenceFilter/>UsernamePasswordAuthenticationFilter
用来处理 form 交并检查认证存储是否为合法凭证
<bean id="UsernamePasswordAuthenticationFilter"
class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
<property name="authenticationManager" ref="customAuthenticationManager"/>
<!-- 高级配置 添加rememberMe-->
<property name="rememberMeServices" ref="rememberMeServices"/>
</bean>AnonymousAuthenticationFilter
站点允许匿名访问。尽管对于比较特殊的条件 AnonymousAuthenticationFilter 并 不需要,但是通常情况下会使用它,因为只对请求添加了一点的预处理。
<bean id="anonymousAuthenticationFilter"
class="org.springframework.security.web.authentication.AnonymousAuthenticationFilter">
<property name="userAttribute" value="anonymousUser,ROLE_ANONYMOUS"/>
<property name="key" value="BF93JFJ091N00Q7HF"/>
</bean>FilterSecurityInterceptor
最终负责检查 Authentication,这个过滤器确定一个特定的请求最终是被拒绝还是被接受。
<bean id="filterSecurityInterceptor"
class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="authenticationManager" ref="customAuthenticationManager"/>
<property name="accessDecisionManager" ref="affirmativeBased"/>
<property name="securityMetadataSource">
<security:filter-security-metadata-source>
<security:intercept-url pattern="/login.do" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<security:intercept-url pattern="/home.do" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<security:intercept-url pattern="/account/*.do" access="ROLE_USER"/>
<security:intercept-url pattern="/*" access="ROLE_USER"/>
</security:filter-security-metadata-source>
</property>
</bean>配置最少的支持对象集合
<!--投票器配置-->
<bean class="org.springframework.security.access.vote.AffirmativeBased" id="affirmativeBased">
<property name="decisionVoters">
<list>
<ref bean="roleVoter"/>
<ref bean="authenticatedVoter"/>
</list>
</property>
</bean>
<bean class="org.springframework.security.access.vote.RoleVoter" id="roleVoter"/>
<bean class="org.springframework.security.access.vote.AuthenticatedVoter"id="authenticatedVoter"/>
<!--customAuthenticationManager 配置 提供 Authentication信息-->
<bean id="customAuthenticationManager"
class="org.springframework .security.authentication.ProviderManager">
<property name="providers">
<list>
<ref local="daoAuthenticationProvider"/>
<ref local=”anonymousAuthenticationProvider”/>
<!-- 此处为高级配置 添加rememberme-->
<ref local="rememberMeAuthenticationProvider"/>
</list>
</property>
</bean>
<bean id="daoAuthenticationProvider"
class="org.springframework .security.authentication.dao.DaoAuthenticationProvider">
<property name="userDetailsService" ref="jdbcUserService"/>
</bean>
<bean id=”anonymousAuthenticationProvider”
class=”org.springframework.security.authentication.AnonymousAuthenticationProvider”>
<property name=”key” value=”BF93JFJ091N00Q7HF”/>
</bean>二 高级配置
Session 生命周期的调整元素
AbstractAuthenticationProcessingFilter (UsernamePasswordAuthenticationFilter 的父类)
属性:allowSessionCreation 默认值:true
如果为 true,当认证失败时创建一个 新的 session(存储异常)
UsernamePasswordAuthenticationFilter
属性:tearllowSessionCreation 默认值:true
如果为 true 的话, 这个特殊的过滤器将会创建一个 session 存储最后尝试的用户名。
SecurityContextLogoutHandler
属性:invalidateHttpSession 默认值:true
如果为 true, HttpSession 将会失效(参考 Servlet 规 范了解 session 失效 的细节)
SecurityContextPersistenceFilter
属性:forceEagerSessionCreation 默认值:false
如果为 true,该过 滤器将会在执行链中其它过滤器之前 创建一个 session。
HttpSessionSecurityContextRepository
属性:allowSessionCreation 默认值:true
如果为 true,如果 在请求结束时 session 中还没有 SecurityContext 的 话,SecurityContext 将存储到 session 中。
手动配置其它通用的服务
声明缺失的过滤器 添加三个我们还没有配置的服务。包含处理退出、 remember me 以及异常转换
<bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy">
<security:filter-chain-map path-type="ant">
<security:filter-chain pattern="/**" filters=" securityContextPersistenceFilter, logoutFilter,
usernamePasswordAuthenticationFilter, rememberMeAuthenticationFilter,
anonymousAuthenticationFilter, exceptionTranslationFilter, filterSecurityInterceptor" />
</security:filter-chain-map>
</bean>
<!--LogoutFilter-->
<bean id="logoutFilter" class="org.springframework.security .web.authentication.logout.LogoutFilter">
<!-- the post-logout destination -->
<constructor-arg value="/"/>
<constructor-arg>
<array>
<ref local="logoutHandler"/>
<!--高级配置 添加 rememberMe-->
<ref local="rememberMeServices"/>
</array>
</constructor-arg>
<property name="filterProcessesUrl" value="/logout"/>
</bean>
<bean id="logoutHandler"
class="org.springframework.security .web.authentication.logout.SecurityContextLogoutHandler"/>
<!--RememberMeAuthenticationFilter-->
<bean id="rememberMeAuthenticationFilter"
class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
<property name="rememberMeServices" ref="rememberMeServices"/>
<property name="authenticationManager" ref="customAuthenticationManager" />
</bean>
<bean id="rememberMeServices"
class="org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices">
<property name="key" value="jbcpPetStore"/>
<property name="tokenValiditySeconds" value="3600"/>
<property name="tokenRepository" ref="jdbcRememberMeTokenRepository"/>
<property name="userDetailsService" ref="jdbcUserService"/>
</bean>
<bean id="jdbcRememberMeTokenRepository"
class="org.springframework.security.web .authentication.rememberme.JdbcTokenRepositoryImpl">
<property name="dataSource" ref="dataSource"/>
</bean>
<bean id="rememberMeAuthenticationProvider"
class="org.springframework.security .authentication.RememberMeAuthenticationProvider">
<property name="key" value="jbcpPetStore"/>
</bean>
<!--ExceptionTranslationFilter-->
<bean id="exceptionTranslationFilter"
class="org.springframework.security.web .access.ExceptionTranslationFilter">
<property name="authenticationEntryPoint" ref="authenticationEntryPoint"/>
<property name="accessDeniedHandler" ref="accessDeniedHandler"/>
</bean>
<bean id="authenticationEntryPoint"
class="org.springframework.security.web .authentication.LoginUrlAuthenticationEntryPoint">
<property name="loginFormUrl" value="/login.do"/>
</bean>
<bean id="accessDeniedHandler"
class="org.springframework.security.web .access.AccessDeniedHandlerImpl">
<property name="errorPage" value="/accessDenied.do"/>
</bean>
明确配置 SpEL 表达式和投票器
<!--重新配置了 affirmativeBased 该类会被AccessDecisionManager使用-->
<bean class="org.springframework.security.access.vote.AffirmativeBased" id="affirmativeBased">
<property name="decisionVoters">
<list>
<ref bean="expressionVoter"/>
</list>
</property>
</bean>
<bean class="org.springframework.security.web.access .expression.WebExpressionVoter" id="expressionVoter">
<property name="expressionHandler" ref="expressionHandler"/>
</bean>
<bean class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler"
id="expressionHandler"/>Spring Security-自定义配置Filter的更多相关文章
- Spring Security 自定义配置(1)
@Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapte ...
- 解决Spring Security自定义filter重复执行问题
今天做项目的时候,发现每次拦截器日志都会打两遍,很纳闷,怀疑是Filter被执行了两遍.结果debug之后发现还真是!记录一下这个神奇的BUG! 问题描述 项目中使用的是Spring-security ...
- SPRING SECURITY JAVA配置:Web Security
在前一篇,我已经介绍了Spring Security Java配置,也概括的介绍了一下这个项目方方面面.在这篇文章中,我们来看一看一个简单的基于web security配置的例子.之后我们再来作更多的 ...
- Spring Security 入门(1-2)Spring Security - 从 配置例子例子 开始我们的学习历程
1.Spring Security 的配置文件 我们需要为 Spring Security 专门建立一个 Spring 的配置文件,该文件就专门用来作为 Spring Security 的配置. &l ...
- Spring Security 自定义登录页面
SpringMVC + Spring Security,自定义登录页面登录验证 学习参考:http://www.mkyong.com/spring-security/spring-security-f ...
- spring security自定义指南
序 本文主要研究一下几种自定义spring security的方式 主要方式 自定义UserDetailsService 自定义passwordEncoder 自定义filter 自定义Authent ...
- Spring Security认证配置(三)
学习本章之前,可以先了解下上篇Spring Security认证配置(二) 本篇想要达到这样几个目的: 1.登录成功处理 2.登录失败处理 3.调用方自定义登录后处理类型 具体配置代码如下: spri ...
- Spring Security认证配置(二)
学习本章之前,可以先了解下上篇Spring Security基本配置. 本篇想要达到这样几个目的: 1.访问调用者服务时,如果是html请求,则跳转到登录页,否则返回401状态码和错误信息 2.调用方 ...
- Spring Security认证配置(一)
学习本章之前,可以先了解下上篇 Spring Security基本配置. 本篇主要讲述Spring Security基于表单,自定义用户认证配置(上篇中的配置,本篇将不再阐述).一共分为三步: 1.处 ...
随机推荐
- XAF_GS_01_准备环境
各位久等了,接下来我们开始学习XAF入门的第一节,搭建XAF的环境 Setp 1 第一步不是创建什么项目,而是先安装我们的XAF环境也就是安装DevExpress 由于笔者安装的是16.2.3所以演示 ...
- webpack的多文件打包问题
1.第三方库如vue,vue-router可以利用webpack中的entry指定vendor:['vue','vue-router']来打包在一个文件中 2.将这些文件单独提取出来,在页面中使用&l ...
- 【转】jQuery Validate验证框架详解
jQuery校验官网地址:http://bassistance.de/jquery-plugins/jquery-plugin-validation 一.导入js库 <script type=& ...
- 开涛spring3(6.8) - AOP 之 6.8 切面实例化模型
所谓切面实例化模型指何时实例化切面. Spring AOP支持AspectJ的singleton.perthis.pertarget实例化模型(目前不支持percflow.percflowbelow ...
- 改进Android语音对讲系统的方法
本文属于Android局域网内的语音对讲项目系列,<实时Android语音对讲系统架构>阐述了局域网内Android语音对讲功能的框架,本文在此基础上进行了优化,包括音频的录制.播放,通信 ...
- 彻底清除Linux centos minerd木马
前几天,公司两台linux服务器,一台访问速度很慢,cpu跑满,一台免密码登录失效,公钥文件被改写成redis的key.用htop命令查询发现了minerd木马进程,初步猜测是redis没有配访问权限 ...
- Python教程(2.1)——控制台输入
这一节,我们来学习如何写一个简单的Python程序. 我们知道,很多编程语言一开始就是学习怎么输出"Hello, world",对吧?那么,现在我们来学习怎么用Python输出&q ...
- 平时常用的一些java方法,请留意
平时常用的一些java方法,请留意. package com.util; import java.io.BufferedInputStream; import java.io.BufferedWrit ...
- HTML5之2D物理引擎 Box2D for javascript Games 系列 第三部分之创建图腾破坏者的关卡
创建图腾破坏者的关卡 现在你有能力创建你的第一个游戏原型,我们将从创建图腾破坏者的级别开始. 为了展示我们所做事情的真实性,我们将流行的Flash游戏图腾破坏者的一关作为 我们模仿的对象.请看下面的截 ...
- 自己整理的openresty安装步骤
这几天一直在研究对webapi的限流和名单的问题,于是看了开涛博客的方案,于是就用到了openresty,一个把Nginx和lua集成的东西. 下面就是整理的安装方案(简单使用基本可以这么安装) 下载 ...