⼀⽂搞懂SpringSecurity,spring-security配置⽂件详解,史上最全
⼀、认证和授权概念
1.、在⽣产环境下我们如果不登录系统是否能对业务进⾏操作?
答案显然是否定的,要操作这些功能必须⾸先登录到系统才可以。
2、是不是所有⽤户,只要登录成功就都可以操作所有功能呢?
答案是否定的,并不是所有的⽤户都可以操作这些功能。不同的⽤户可能拥有不同的权限,这就需要进⾏授权了。
⼆、Spring Security简介
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
三、话不多说,接下来看⼊门案例
1、⼯程搭建
创建 maven ⼯程,打包⽅式为 war 包,引⼊依赖
<dependencies>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
</dependencies>
<!-- 使⽤ Tomcat插件 -->
<build>
<plugins>
<plugin>
<groupId>at.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<configuration>
<!-- 指定端⼝ -->
<port>85</port>
<!-- 请求路径 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
</build>
2、配置l
在l中主要配置SpringMVC的DispatcherServlet和⽤于整合第三⽅框架的DelegatingFilterProxy,⽤于整合Spring Security,注意过滤器名称必须为springSecurityFilterChain,否则会抛出NoSuchBeanDefinitionException异常
<!DOCTYPE web-app PUBLIC
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"java.sun/dtd/web-app_2_3.dtd">
<web-app>
<display-name>Archetype Created Web Application</display-name>
<filter>
java加密方式有哪些<!--
DelegatingFilterProxy⽤于整合第三⽅框架
整合Spring Security时过滤器的名称必须为springSecurityFilterChain,
否则会抛出NoSuchBeanDefinitionException异常
-->
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<servlet>
<servlet-name>springmvc</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<!-- 指定加载的配置⽂件,通过参数contextConfigLocation加载 -->
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>l</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>springmvc</servlet-name>
<url-pattern>*.do</url-pattern>
</servlet-mapping>
</web-app>
3、配置l
在 l 中主要配置 Spring Security 的拦截规则和认证管理器
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="/schema/beans"
xsi="/2001/XMLSchema-instance"
context="/schema/context"
mvc="/schema/mvc"
security="/schema/security"
schemaLocation="/schema/beans
/schema/beans/spring-beans.xsd
/schema/mvc
/schema/mvc/spring-mvc.xsd
/schema/context
/schema/context/spring-context.xsd
/schema/security
/schema/security/spring-security.xsd">
<!--
http:⽤于定义相关权限控制
auto-config:是否⾃动配置
设置为true时框架会提供默认的⼀些配置,例如提供默认的登录页⾯、登出处理等
设置为false时需要显⽰提供登录表单配置,否则会报错
use-expressions:⽤于指定intercept-url中的access属性是否使⽤表达式
-->
<http auto-config="true"use-expressions="true">
<!--
intercept-url:定义⼀个拦截规则
pattern:对哪些url进⾏权限控制,拦截规则
access:在请求对应的URL时需要什么权限,默认配置时它应该是⼀个以逗号分隔的⾓⾊列表,请求的⽤户只需拥有其中的⼀个⾓⾊就能成功访问对应的URL,指定所需的访问⾓⾊或访问权限
-->
<!--
配置拦截请求 /** 代表拦截所有请求
-->
<!--
hasRole:访问⾓⾊
-->
<intercept-url pattern="/**"access="hasRole('ROLE_ADMIN')"/>
</http>
<!--
authentication-manager:认证管理器,⽤于处理认证操作
-->
<authentication-manager>
<!--
authentication-provider:认证提供者,执⾏具体的认证逻辑
-->
<authentication-provider>
<!--
user-service:⽤于获取⽤户信息,提供给authentication-provider进⾏认证
-->
<user-service>
<!--
user:定义⽤户信息,可以指定⽤户名、密码、⾓⾊,后期可以改为从数据库查询⽤户信息
{noop}:表⽰当前使⽤的密码为明⽂
-->
<user name="admin"
password="{noop}admin"
authorities="ROLE_ADMIN">
</user>
</user-service>
</authentication-provider>
</authentication-manager>
</beans>
4、启动⼯程
当我们启动⼯程后,在浏览器输⼊ localhost:85 之后,就可以直接进⼊ spring-security 为我们提供的登录页⾯四、对⼊门案例进⾏改进
1、⼊门案例存在的问题
前⾯我们已经完成了Spring Security的⼊门案例,通过⼊门案例我们可以看到,Spring Security将我们项⽬中的所有资源都保护了起来,要访问这些资源必须要完成认证⽽且需要具有 ROLE_ADMIN ⾓⾊。
但是⼊门案例中的使⽤⽅法离我们真实⽣产环境还差很远,还存在如下⼀些问题:
1、项⽬中我们将所有的资源(所有请求URL)都保护起来,实际环境下往往有⼀些资源不需要认证也可以访问,也就是可以匿名访问。
2、登录页⾯是由框架⽣成的,⽽我们的项⽬往往会使⽤⾃⼰的登录页⾯。
3、直接将⽤户名和密码配置在了配置⽂件中,⽽真实⽣产环境下的⽤户名和密码往往保存在数据库中。
4、在配置⽂件中配置的密码使⽤明⽂,这⾮常不安全,⽽真实⽣产环境下密码需要进⾏加密。
2、配置可匿名访问的资源
第⼀步:在项⽬中创建pages⽬录,在pages⽬录中创建 a.html 和 b.html
第⼆步:在l⽂件中配置,指定哪些资源可以匿名访问
<!--
http:⽤于定义相关权限控制
指定哪些资源不需要进⾏权限校验,可以使⽤通配符
-->
<http security="none"pattern="/pages/a.html"/>
<http security="none"pattern="/paegs/b.html"/>
<http security="none"pattern="/pages/**"></http>
注意配置信息的位置,如图
通过上⾯的配置可以发现,pages⽬录下的⽂件可以在没有认证的情况下任意访问。
3、使⽤指定的登录页⾯
第⼀步:提供 login.html 作为项⽬的登录页⾯
<html>
<head>
<title>登录</title>
</head>
<body>
<form action="/login.do"method="post">
username:<input type="text"name="username"><br>
password:<input type="password"name="password"><br>
<input type="submit"value="submit">
</form>
</body>
</html>
第⼆步:修改 l ⽂件,指定 login.html 页⾯可以匿名访问
<http security="none"pattern="/login.html"/>
第三步:修改l⽂件,加⼊表单登录信息的配置,若要使⽤⾃⼰指定的页⾯作为登录页⾯,则必须配置登录表单,配置信息编写在第⼆步后⾯
<!--
form-login:定义表单登录信息
login-processing-url="/login.do" 表单提交地址,也就是form表单提交时指定的action
default-target-url="/index.html" 登录成功后默认跳转页⾯
authentication-failure-url="/login.html" 登录失败后重新跳转回登录页⾯
-->
<form-login login-page="/login.html"
username-parameter="username"
password-parameter="password"
login-processing-url="/login.do"
default-target-url="/index.html"
authentication-failure-url="/login.html"
/>
第四步:修改l⽂件,关闭CsrfFilter过滤器,不使⽤框架提供的 登录页⾯
<!--
csrf:对应CsrfFilter过滤器
disabled:是否启⽤CsrfFilter过滤器,如果使⽤⾃定义登录页⾯需要关闭此项,否则登录操作会被禁⽤(403)
-->
<csrf disabled="true"></csrf>
第五步:启动项⽬,浏览器输⼊:localhost:85,可看到直接跳转⾄:localhost:85/login.html
第六步:输⼊正确的⽤户名和密码,出现如下场景,原因是我们并没有 favicon.do 这个路径的资源,把 favicon.do 删除,替换成
/pages/a.html ⽅可访问
五、从数据库查询⽤户信息
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论