Spring Security的使用
程序员文章站
2024-03-19 14:18:40
...
Spring Security的使用
一、spring security是什么?
spring家族中的一款权限校验、安全框架,可以和spring无缝整合
二、为什么要是用安全框架,不使用可以吗?
安全框架实际就是对过滤器做了代理增强,简化我们的拦截校验代码,同时简化我们在对RBAC的代码操作
三、什么是权限管理,如何从数据库层面出发设计权限管理?
- 权限管理指的是,对当前用户可以进行的可执行操作的管理
-
三表模式:直接为每一位赋予对应的权限
- 用户名、用户权限表 、权限表
-
五表模式:将用户分组引入角色
- 用户表、用户角色表、角色表、角色权限表、权限表
- 根据需求可在细分七表、九表等
三、实例演示
- 导入依赖
<properties>
<spring.version>4.2.4.RELEASE</spring.version>
</properties>
<dependencies>
<!--spring-->
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-core</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context-support</artifactId>
<version>${spring.version}</version>
</dependency>
<!--数据库链接-->
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-jdbc</artifactId>
<version>${spring.version}</version>
</dependency>
<!--spring security-->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>4.1.0.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>4.1.0.RELEASE</version>
</dependency>
<!--web-->
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>2.5</version>
<scope>provided</scope>
</dependency>
</dependencies>
-
配置web.xml文件
<!--加载配置文件的路径--> <context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:spring-security.xml</param-value> </context-param> <!--配置文件的加载方式--> <listener> <listener-class> org.springframework.web.context.ContextLoaderListener </listener-class> </listener> <!---security的过滤器的代理对象--> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <!--拦击的路径--> <filter-mapping> <!--springSecurityFilterChain是固定的名称--> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
-
spring security配置文件,配置拦截规则和校验规则
<!--开放的不用登陆成功就可以访问的资源--> <http pattern="资源路径" security="none"/> <!--登陆和注销的拦截业务处理 use-expression是否使用表达式写法--> <http use-expression="false"> <!--那些资源要具有那些相应的权限 intercept-url资源路径--> <intercept-url pattern="/**" access="ROLE_USER" /> <!-- always-use-default-target登录成功后是返回登录之前的资源,还是default-target-url--> <form-login login-page="/自定义的登录页面" default-target-url="/登录成功后的跳转地址" always-use-default-target="true" authentication-failure-url="/登录失败后的跳转地址"/> <!--关闭跨站点请求--> <csrf disabled="true"/> <!--注销,注销后跳转到登录页面--> <logout/> <!--如果页面使用了frameset或者iframe则需要添加下面的配置--> <headers> <frame-options policy="SAMEORIGIN"/> </headers> </http> <!-- 配置文件形式的认证管理器 --> <authentication-manager> <authentication-provider> <!--指定固定的权限--> <user-service> <!--权限要是用大写,如:ROLE_USER--> <user name="用户名" password="密码" authorities="权限"/> </user-service> </authentication-provider> </authentication-manager> <!-- 自定义用户信息认证管理器 实现 UserDetailService接口 --> <authentication-manager> <authentication-provider user-service-ref="userDetailService"> </authentication-provider> </authentication-manager> <!-- 定义自定义认证类 --> <beans:bean id="userDetailService" class="com.youlexuan.service.UserDetailsServiceImpl"></beans:bean>
-
自定义实现用户认证管理
/** * * @param s 当前登录的用户名 * @return * @throws UsernameNotFoundException */ @Override public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException { //todo(根据当前登录的用户名s,查询数据库中对应用户的信息) return new User("用户名","密码",权限集合); }
-
security的加密
<authentication-provider user-service-ref='userDetailService'> <!--添加加密配置--> <password-encoder ref="bcryptEncoder"></password-encoder> </authentication-provider> <!--加密实现类--> <beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
//密码加密 BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String password = passwordEncoder.encode(seller.getPassword()); seller.setPassword(password);
-
登录成功后获取当前用户的信息
String name=SecurityContextHolder.getContext().getAuthentication().getName();
上一篇: Tornado基础入门(三) 用户身份验证框架、安全机制
下一篇: 2021护网公布漏洞清单
推荐阅读
-
spring security中 BCrypt密码加密算法
-
Spring Security的使用
-
Spring Security OAuth2 permitAll() 方法小记
-
Spring Security使用数据库中的用户进行身份认证
-
【渗透测试】CS4.0的使用(二)
-
对一个所谓 “真正的测试spring并发的事务正确性” 的证伪
-
用户登录拦截-----SpringSecurity框架的使用
-
Spring Security 源码分析十三:Spring Security 权限控制
-
spring-security4.2实现登录退出以及权限配置
-
使用Metasploit的数据库保持黑客攻击时信息的组织性存储