2. 程式人生 > >spring security的簡單應用

spring security的簡單應用

阿新 發佈:2018-01-10
location factory wire contex 頁面 pub users 成功 locked

本文只包涵spring security配置部分,不是一個完整項目,不過可以任意添加到一個web項目中,不需要對原來的程序做任何修改

部分內容來源於網絡,如有雷同,毫無意外

1、xml配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 

    xmlns:context="http://www.springframework.org/schema/context"
    xsi:schemaLocation="http://www.springframework.org/schema/beans   
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd    
http://www.springframework.org/schema/security   
http://www.springframework.org/schema/security/spring-security-3.1.xsd"
 
>
    <global-method-security pre-post-annotations="enabled">
    </global-method-security>
    
    <!-- 不攔截的路徑 -->
    <http pattern="/registerPage" security="none" />
    <http pattern="/mainPage" security="none"></http>
    <http pattern="/item/itemid**" security
 
="none"></http>
    <http pattern="/css/**" security="none" />
    <http pattern="/font/**" security="none" />
    <http pattern="/images/**" security="none" />
    <http pattern="/js/**" security="none" />
    
    <http auto-config="true">
        <!-- 登錄配置 -->
        <form-login login-page="/loginPage"
            authentication-failure-url="/login/failure"
            login-processing-url="/login" 
            authentication-success-handler-ref="mySuccessHandler"  
            username-parameter="username"
            password-parameter="password" />

        <!-- 用戶登出 -->
        <logout invalidate-session="true" logout-success-url="/loginPage"
            logout-url="/logout" />
            
        <!-- 攔截頁面 -->    
        <intercept-url pattern="/item/**" access="ROLE_USER" />
        <intercept-url pattern="/admin/**" access="ROLE_USER" />
    </http>
    
    <!-- 登錄成功的處理方法 -->
    <beans:bean id="mySuccessHandler" class="security.LoginSuccessHandle" ></beans:bean>
    
    <!-- 獲取UserDettail的bean -->
    <beans:bean id="UserDetailService" class="security.MyUserDetailService"></beans:bean>
    
    <!-- 在這裏也是一個大坑,查詢網上的文章,這裏都是引用的實現了UserDetailsService的類 -->
    <beans:bean id="UserService" class="security.SecurityProvider"></beans:bean>
    <authentication-manager>
        <authentication-provider ref="UserService">
        </authentication-provider>
    </authentication-manager>
</beans:beans>

2、用戶權限信息類

省略相關數據庫代碼以及dao層代碼

package po;

public class UserRole {

    private String username;
    private String password;
    private String role;

    public UserRole(String username, String password, String role) {
        super();
        this.username = username;
        this.password = password;
        this.role = role;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getRole() {
        return role;
    }

    public void setRole(String role) {
        this.role = role;
    }
}

3、MyUserDetail類,實現UserDetail接口,包含用戶信息和用戶權限類型

package security;

import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import po.UserRole;

public class MyUserDetail implements UserDetails {
    /**
     * 
     */
    private static final long serialVersionUID = -5619502406659516775L;
    private UserRole myUser;
    private Collection<? extends GrantedAuthority> authorities;

    public MyUserDetail(UserRole user,Collection<? extends GrantedAuthority> authorities) {
        this.myUser = user;
        this.authorities = authorities;
    }

    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }
    public UserRole getMyUser() {
        return myUser;
    }
    public String getPassword() {
        return myUser.getPassword();
    }

    public String getUsername() {
        return myUser.getUsername();
    }

    public boolean isAccountNonExpired() {
        return false;
    }

    public boolean isAccountNonLocked() {
        return false;
    }

    public boolean isCredentialsNonExpired() {
        return false;
    }

    public boolean isEnabled() {
        return false;
    }

}

4、MyUserDetailService類,實現UserDetailsService接口,用來獲取一個UserDetail對象

package security;

import java.util.ArrayList;
import java.util.Collection;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import mapper.UserRoleMapper;
import po.UserRole;

@Service
public class MyUserDetailService implements UserDetailsService  {
    @Autowired
    UserRoleMapper userdao;
    public UserDetails loadUserByUsername(String username)
            throws UsernameNotFoundException {
        UserRole user =userdao.getUserByName(username);
        if(user==null)
        {
            throw new  UsernameNotFoundException("找不到該用戶");
        }
//        Collection<GrantedAuthority> grantedAuthorities = new ArrayList<>();
//        SimpleGrantedAuthority grantedAuthority = new SimpleGrantedAuthority(role);
//        grantedAuthorities.add(grantedAuthority);
        return new MyUserDetail(user, getAuthorities(user.getRole()));
    }

    private Collection<GrantedAuthority> getAuthorities(String role) {
        Collection<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority>();
        SimpleGrantedAuthority grantedAuthority = new SimpleGrantedAuthority(role);
        grantedAuthorities.add(grantedAuthority);
        return grantedAuthorities;
    }

}

5、SecurityProvider類,實現了AuthenticationProvider,返回一個UsernamePasswordAuthenticationToken

package security;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

public class SecurityProvider implements AuthenticationProvider {
    @Autowired
    private MyUserDetailService userDetailsService;
    public Authentication authenticate(Authentication authentication)
            throws AuthenticationException {
        UsernamePasswordAuthenticationToken token = (UsernamePasswordAuthenticationToken) authentication;
        UserDetails userDetails = userDetailsService.loadUserByUsername(token.getName());
        if (userDetails == null) {
            throw new UsernameNotFoundException("找不到該用戶");
        }
        if(!userDetails.getPassword().equals(token.getCredentials().toString()))
        {
              throw new BadCredentialsException("用戶密碼錯誤");
        }
        return new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(),userDetails.getAuthorities());
    }

    public boolean supports(Class<?> authentication) {
        return UsernamePasswordAuthenticationToken.class.equals(authentication);
    }

}

6、登錄成功後自定義處理過程

spring security可以在配置文件中設置登錄成功後的跳轉頁面,或者是直接返回認證前想要訪問的頁面,但是因為有時候用戶是使用ajax請求登錄,所以需要自定義一些操作,我是在登錄成功後跳轉到控制層url,

在url中攜帶需要跳轉的參數,然後在控制層中將url參數返回到ajax,再由前端重新請求控制層跳轉

package security;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.InitializingBean;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.savedrequest.HttpSessionRequestCache;
import org.springframework.security.web.savedrequest.RequestCache;
import org.springframework.security.web.savedrequest.SavedRequest;

public class LoginSuccessHandle implements AuthenticationSuccessHandler, InitializingBean {
    private RequestCache requestCache = new HttpSessionRequestCache();

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authen)
            throws IOException, ServletException {
        SavedRequest savedRequest = requestCache.getRequest(request, response);
        // 默認認證後跳轉路徑
        String targetUrl = "/mainPage";

        // 如果登錄前有請求為攔截頁面,則驗證後跳轉到該頁面
        if (savedRequest != null) {
            targetUrl = savedRequest.getRedirectUrl();
        }

        // 跳轉到認證成功處理控制器
        response.sendRedirect("/loginSuccess?url=" + targetUrl);

    }

    @Override
    public void afterPropertiesSet() throws Exception {
    }

}

spring security的簡單應用

相關推薦

Spring Batch 簡單應用(CSV文件操作)(二)

分享 resultset hunk tid XML component files lin 實現 本文將通過一個完整的實例,與大家一起討論運用Spring Batch對CSV文件的讀寫操作。此實例的流程是:讀取一個含有四個字段的CSV文件(ID,Name,Age,Score

Spring Batch 簡單應用 (一)(Hello World)

文件配置 let reader launcher -m 技術分享 exe resource trace 通過前面兩篇關於Spring Batch文章的介紹,大家應該已經對Spring Batch有個初步的概念了。這篇文章,將通過一個”Hello World!”實例,和大家

Spring Security 簡單的用戶權限判斷

Spring Security 簡單的用1.URL過濾: <http> <intercept-url pattern="/**" access="hasRole('USER')" /> <form-login /&g

Spring Security簡單的登陸驗證授權

end 黑板 其中 ack ryu ssa enable 靈活 else Spring Security的介紹就省略了,直接記錄一下登陸驗證授權的過程。 Spring Security的幾個重要詞 1.SecurityContextHolder:是安全上下文容器,可以在此得

Spring Security簡單實現自定義退出功能

1.前端頁面寫法 <a href="javascript:;" onclick="logoutBackground()">退出</a> 2.js /** * 退出後臺 */ function logoutBackground() { $.get("/

spring aop簡單應用

定義 執行 around 圖片 分享 roc ima 功能 RoCE @Aspect代表這是一個Aop函數,可以具有Aop切面編程的功能 @Around註解代表包圍一個函數,可以在函數執行之前進行操作,也可以在函數執行之後操作。 在函數執行後操作需要使用Proceedin

springboot和spring security簡單使用

整理自是尚矽谷springboot高階 配置類(最重要的了) @EnableWebSecurity//這個註解組合註解裡面有@Configuration 所以不要配置@Configuration public class SecurityConfig extends WebSecurityC

spring-security簡單demo

1、什麼是spring-security Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Contr

spring security簡單介紹

這裡是修真院後端小課堂,每篇分享文從 【背景介紹】【知識剖析】【常見問題】【解決方案】【編碼實戰】【擴充套件思考】【更多討論】【參考文獻】 八個方面深度解析後端知識/技能,本篇分享的是: 【spring security簡單介紹】   大家好,我是IT修真院北京分院

Spring Theme簡單應用

Spring MVC特性裡由一個是關於Spring Theme主題的應用,所以寫了個Demo   1.這裡先看專案結構(Meven專案)    2.所需的POM依賴 <dependency> <groupId>org.springframewor

Spring Shell簡單應用

大致:想要使用Spring Shell,則專案需要是 Spring Boot專案,下面貼出結構和程式碼 1.POM依賴 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/P

Spring Boot簡單應用——會員管理系統

簡介   本專案是使用Spring Boot編寫的一個簡單的會員管理系統。   提供了會員的解決方案,主要有會員模組,管理員模組,禮品模組,商品模組,會員等級模組,生日提醒模組,積分模組,詳細模組如

Spring Security 簡單實現使用者登陸

Spring Security 實現使用者登陸 本文僅介紹Spring Security的基本使用。 Spring Security簡介 Spring Security 基於 Spring 框架,提供了一套 Web 應用安全性的完整解決方案。Web 應用的安全性包括使用者認證(A

spring security簡單應用

location factory wire contex 頁面 pub users 成功 locked 本文只包涵spring security配置部分,不是一個完整項目,不過可以任意添加到一個web項目中,不需要對原來的程序做任何修改 部分內容來源於網絡,如有雷同,毫無意

Spring Security應用開發(04)HTTP basic認證

角色 cati onf poi font con prop ins mode Spring Security默認是使用form-login表單認證方式。 <!-- 默認使用表單認證 --> <sec:form-login /> Spring

Spring Security應用開發(11) 並發控制之實踐

nag line then 9.png page 總結 -c ole for 本文分別介紹了四種不同情況下,Spring Security的Session管理和並發控制的不同配置的配置方法,以及所產生的效果。 (1)首先編寫了session_error.jsp頁面,用於

Spring Security應用開發(10) 並發控制之基本介紹

authorize 失效 session report 表示 container 頁面 屬性 ren 同一個用戶使用不同的瀏覽器登錄,將會導致什麽結果呢?Spring Security提供了多種選項。 <!-- session管理 --> <

Spring Security應用開發(15)層次化角色體系

投票 rar 函數參數 prop lin span efault nag pass 1.1. 層次化角色體系 使用Spring Security的層次化角色體系,可以簡化復雜角色的配置。配置過程如下: (1)首先需要在http結點中指定訪問決策管理器。 <!-- 角

Spring Security應用開發(19)基於方法的授權(三)AOP

ntc blog view lob byname 控制器 頁面 poi bject 本文介紹使用AOP的配置方式來實現基於方法的授權。 (1)首先使用Spring Security提供的protect-pointcut進行配置。 protect-pointcut結點配置

Spring Security應用開發(18)基於方法的授權(二)過濾

屬性 and welcome pre length ++ per tsa 目標 本文將介紹@PreFilter和@PostFilter這兩個註解。 @PreFilter @PreFilter用於對方法的參數進行過濾。這種情況下參數通常是集合類型,符合條件的值被保留在集合