2. 程式人生 > >《Spring Security教程系列》二.初識Java 配置

《Spring Security教程系列》二.初識Java 配置

阿新 發佈:2018-12-15

Java配置使用and()方法相當於XML標籤的關閉,這樣允許我們繼續配置父類節點。如果你閱讀程式碼他很合理,我想配置請求驗證,並使用表單和HTTP基本身份驗證進行登入。

Java配置和表單登入

因此使用Java程式碼配置Spring Security主要是這兩個步驟:

1、建立過濾器

2、註冊過濾器。

1.第一步建立過濾器

這段配置建立一個Servlet Filter:springSecurityFilterChain,其負責應用中的所有安全,包括:保護應用的URLS,驗證提交的username和password,重定向到登入頁面等。通過以下程式碼可以看到使用Java配置Spring Security的基礎案例:


@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter{

@Autowired

public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

auth

.inMemoryAuthentication()

.withUser("user").password("password").roles("USER");

}

}

方法名 configureGlobal是無關緊要的,重要的是在一個添加了 @EnableWebSecurity註解的類裡面,注入 AuthenticationManagerBuilder。這段程式碼內容很少,但事實上已經做了很多的預設安全驗證,包括:

1、訪問應用中的每個URL都需要進行驗證

2、生成一個登陸表單

3、允許使用者使用username和password來登陸

4、允許使用者登出

5、CSRF攻擊攔截

6、 Session Fixation攻擊

7、 安全Header整合

1. [email protected]

當我們在任意一個類上添加了一個註解@EnableWebSecurity,就可以建立一個名為 springSecurityFilterChain 的Filter。我們是在一個自定義的SecurityConfig類上加了這個註解。SecurityConfig類同時也繼承了WebSecurityConfigurerAdapter類,不過需要注意的是,這個過濾器的建立是通過@EnableWebSecurity完成的,與是否繼承這個類無關.

實現EnableWebSecurity的原始碼中加上了@Configuration、@EnableGlobalAuthentication、@Import三個註解,所以使用@EnableWebSecurity就相當於同時加上了這三個註解。

總結: @EnableWebSecurity的作用實際上是,建立一個Spring Bean,Bean的型別是Filter,名字為springSecurityFilterChain。只要我們保證自定義的SecuirtyConfig類,可以被Spring掃描到,就可以幫助我們建立這個Filter了。

1.2 springSecurityFilterChain 過濾器的型別是什麼

Filter的建立時通過WebSecurity物件的build方法完成的,WebSecurity由WebSecurityConfiguration建立,而WebSecurity的作用是用於建立一個型別為FilterChainProxy的過濾器,FilterChainProxy是Filter的子類,我們所說的建立一個名字為springSecurityFilterChain的過濾器,實際上過濾器的具體型別就是FilterChainProxy

2.註冊過濾器

下一步是註冊springSecurityFilterChain。這個可以藉助Spring3.1引入的WebApplicationInitializer完成。SpringSecurity提供了一個基類 AbstractSecurityWebApplicationInitializer來確保 springSecurityFilterChain被註冊。

專案中已經使用了SpringMvc

如果在我們的應用程式中已經使用了Spring,那麼在我們的應用中可能已經有了一個 WebApplicationInitializer來載入我們的配置,如果我們還使用之前的程式碼,將會出現一個錯誤。此時我們應該在已經存在的ApplicationContext中註冊Spring Security。例如,如果我們已經使用SpringMvc,那麼我們的程式碼應該是如下所示:


import org.springframework.security.web.context.*;

public class SecurityWebApplicationInitializer

        extends AbstractSecurityWebApplicationInitializer {



}

相關推薦

Spring Security教程系列.初識Java 配置

Java配置使用and()方法相當於XML標籤的關閉,這樣允許我們繼續配置父類節點。如果你閱讀程式碼他很合理,我想配置請求驗證,並使用表單和HTTP基本身份驗證進行登入。 Java配置和表單登入 因此使用Java程式碼配置Spring Security主要是這兩個步驟: 1、

Spring Security教程(一):初識Spring Security

一、概要 Spring Security,這是一種基於 Spring AOP 和 Servlet 過濾器的安全框架。它提供全面的安全性解決方案,同時在 Web 請求級和方法呼叫級處理身份確認和授權。以下是百科裡對於Spring Security的介紹。 Spring Security是一個能夠為基於Spr

Spring Security教程系列》三.HttpSecurity的使用

HttpSecurity 到目前為止我們的 SecurityConfig 只包含了關於如何驗證我們的使用者的資訊。Spring Security怎麼知道我們想對所有的使用者進行驗證?Spring Security怎麼知道我們需要支援基於表單的驗證?原因是我們的SecurityConf

Spring Security教程系列》一.Spring Security簡介

# 1.Spring Security是什麼? Spring Security提供了基於Java EE的企業應用軟體全面的安全服務.這裡特別強調支援使用Spring框架構建的專案,Spring框架是企業軟體開發Java EE方案的領導者 . Spring Security 是一

Spring kafka 學習之 採用java 配置類方式傳送與接收訊息

參考資料:https://docs.spring.io/spring-kafka/reference/html/_introduction.html#compatibilityspring-kafka 版本:2.1.5.release1、配置類package com.hdsx

Java EE入門教程系列第一章Java EE的概述()——Java EE技術框架和開發工具

1.3Java EE的技術框架 從技術的角度劃分,完整的Java EE分成了4個部分:元件技術、服務技術、通訊技術和架構技術。 下面給出的是一個適合初學者的體系結構簡化圖,暫時接觸不到的部分統一用“支援技術”表示,我們暫時只專注於與應用級開發相關的技術即可。 1.元件技術 這是

spring mvc基礎篇():初識檢視解析器,核心配置檔案的位置,亂碼處理

2.1 檢視技術簡介 通常像spring mvc 這樣的web框架都會有相應的定位檢視技術,spring提供了檢視解析器來解析ModelAndView模型資料到特定的檢視上,spring提供了ViewResolver和View兩個特別重要的介面,ViewResolver提供

Nginx實用教程):配置文件入門

affinity type 服務 源碼編譯 設置時間 shutdown ber 可用 控制指令 Nginx配置文件結構 nginx配置文件由指令(directive)組成,指令分為兩種形式,簡單指令和區塊指令。 一條簡單指令由指令名、參數和結尾的分號(;)組成,例如:

(一)關於spring security的簡要介紹以及相關配置和jar包認識

重要 force cnblogs control 自定義攔截器 compute 編寫 -- 靈活 Spring Security是一個能夠為基於Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring

WPF入門教程系列十一——DataGrid示例(一)

lec enum zip def 包含 布爾 edit 圖1 date 前面我們學習了ListView控件的使用示例,今天我們來學習DataGrid的有關知識。提到DataGrid 不管是Asp.Net中的網頁開發還是WinForm應用程序開發都會頻繁使用。通過它我們可以

WPF入門教程系列十——ListView示例()

數據保存 save 如何實現 component private microsoft () sender wid 第四步、WPF後臺邏輯代碼編寫 在後臺用Entity Framework 6.1的Code First方式獲取數據庫中的數據。同時,在“刷新”按鈕的方法中進行數

Docker教程系列:Docker鏡像操作

包括 tfs 遠的 osi 其它 ali 存儲 cell 綁定 1什麽是Docker鏡像 Docker鏡像是由文件系統疊加而成(是一種文件的存儲形式)。最底端是一個文件引導系統,即bootfs,這很像典型的Linux/Unix的引導文件系統。Docker用戶幾乎永遠不會和引

Spring.NET教程)整合Quartz.NET(應用篇)

.NET教程 現在 實現 註入 oid ole 效果 line cront 你曾經需要應用執行一個任務嗎?這個任務每天或每周星期二晚上11:30,或許僅僅每個月的最後一天執行。一個自動執行而無須幹預的任務在執行過程中如果發生一個嚴重錯誤,應用能夠知到其執行失敗並嘗試重新執行

Spring.NET教程十一)整合Web Service(應用篇)

desc 例子 art 需要 ace 換工作 ali 關聯 private 雖然目前.net對WebService支持的非常好,Spring.NET認為還是有幾個方面可以改進: 第一、.NET在.asmx文件中保存WebService請求和服務對象的關聯關系,這些.asm

ROS系列:安裝並配置ROS環境

轉自:http://wiki.ros.org/cn/ROS/Tutorials/InstallingandConfiguringROSEnvironment 目錄 安裝ROS 管理環境 建立ROS工作空間   安裝ROS 在開始學習這些教程之前

Spring Security教程(10)---- 自定義登入成功後的處理程式及修改預設驗證地址

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Spring Security教程(四):自定義登入頁

在前面的例子中,登陸頁面都是用的Spring Security自己提供的,這明顯不符合實際開發場景,同時也沒有退出和登出按鈕,因此在每次測試的時候都要通過關閉瀏覽器來登出達到清除session的效果。 一、自定義頁面 login.jsp: <%@ page language="

Spring Security教程(五):自定義過濾器從資料庫從獲取資源資訊

  在之前的幾篇security教程中,資源和所對應的許可權都是在xml中進行配置的,也就在http標籤中配置intercept-url,試想要是配置的物件不多,那還好,但是平常實際開發中都往往是非常多的資源和許可權對應,而且寫在配置檔案裡面寫改起來還得該原始碼配置檔案,這顯然是不好的。因此接下來

Spring Security教程(六):自定義過濾器進行認證處理

這裡接著上篇的自定義過濾器,這裡主要的是配置自定義認證處理的過濾器,並加入到FilterChain的過程。 在我們自己不在xml做特殊的配置情況下,security預設的做認證處理的過濾器為UsernamePasswordAuthenticationFilter,通過檢視原始碼知道,做認證處理的方法為att

Spring Security教程(七):RememberMe功能

在之前的教程中一筆帶過式的講了下RememberMe記住密碼的功能,那篇的Remember功能是最簡易的配置,其功能和安全性都不強。這裡就配置下security中RememberMe的各種方式。 一、概述 RememberMe 是指使用者在網站上能夠在 Session 之間記住登入使用者的身份的憑證,通俗