Spring Security許可權管理相關配置加註解

阿新 • • 發佈：2019-01-07

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xsi:schemaLocation="http://www.springframework.org/schema/beans
 
       http://www.springframework.org/schema/beans/spring-beans.xsd
       http://www.springframework.org/schema/security
       http://www.springframework.org/schema/security/spring-security.xsd">
<!--當有請求道來的時候，Spring Security框架開始檢查要訪問的資源是否有權訪問，
       如果當前登入使用者無權或者當前根本就沒有使用者登入，則Spring Securtiy 框架就自動產生一個 登入頁面。 
-->
<security:http security="none" pattern="/statics/**" />
       <security:http security="none" pattern="/public/**"/>
       <security:http security="none" pattern="/login*"/>
       <security:http security="none" pattern="/maxSessionError*"/>
       <security:http security="none"  
pattern="/forbidden*"/>
<!--這表示，我們要保護應用程式中的所有URL，只有擁有 ROLE_USER角色的使用者才能訪問。-->
<security:http use-expressions="true">
<!--所有url都要被攔截然後進行判斷-->
<security:intercept-url pattern="/**" access="isAuthenticated()"/>
<!-- 不過濾使用者請求登陸url 、使用者登陸失敗跳轉url 、使用者登陸成功請求url-->
              <!-- 退出登入-->
              <!--對登入頁面不進行攔截，加*的原因是此請求可以有引數-->
              <!--<security:intercept-url pattern="/test/" filters="none"></security:intercept-url>-->
              <!--<http>元素是 所有web相關的名稱空間功能的上級元素。<intercept-url>元素定義了 pattern，用來匹配進入的請求URL，上面的表示攔截根，以及根子目錄下的所有的路徑。              access屬性定義了請求匹配了指定模式時的需求。使用預設的配置， 這個一般是一個逗號分隔的角色佇列，一個使用者中的一個必須被允許訪問請求。 字首“ROLE_”表示的是一個使用者應該擁有的許可權比對。-->
              <!--攔截所有的請求但是這個角色可以隨意訪問-->
              <!--對登入頁面不進行攔截-->
              <!--<security:intercept-url pattern="/login.jsp*" filters="none"/>-->
              <!--&lt;!&ndash;管理員介面必須管理員才能登入&ndash;&gt;-->
              <!--<security:intercept-url pattern="/admin.jsp*" access="ROLE_ADMIN"/>-->
              <!--&lt;!&ndash;首頁必須都能訪問&ndash;&gt;-->
              <!--<security:intercept-url pattern="/index.jsp*" access="ROLE_ADMIN,ROLE_USE"/>-->
              <!--&lt;!&ndash;使用者角色經過認證之後都可以訪問&ndash;&gt;-->
              <!--<security:intercept-url pattern="/**" access="ROLE_USER"/>-->
<security:form-login login-page="/login"
default-target-url="/home"
authentication-failure-url="/login"
authentication-success-handler-ref="loginSuccessHandler"/>
<!--登出成功處理-->
<security:logout invalidate-session="true" delete-cookies="true" success-handler-ref="logoutSuccessHandler"/>
<!--訪問受限制-->
<security:access-denied-handler error-page="/forbidden"/>
<!--會話管理配置,登入失效-->
<security:session-management session-fixation-protection="newSession" invalid-session-url="/sessionTimeOut.htm">
<!--配置單點登入，注意web.xml也要相應的配置監聽器-->
<security:concurrency-control max-sessions="1" error-if-maximum-exceeded="false" expired-url="/maxSessionError.htm"/>
              </security:session-management>
<!--增加一個filter但是不能修改預設的filter-->
<security:custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR"/>
       </security:http>
<!--配置認證管理:定義role_user-->
       <!--驗證配置，認證管理器，實現使用者認證的入口，主要實現UserDetailsService介面即可 -->
       <!--通過MyUserDetailService拿到使用者資訊後，authenticationManager對比使用者的密碼（即驗證使用者），然後這個AuthenticationProcessingFilter攔截器就過咯。-->
<security:authentication-manager alias="authenticationManager">
<!--如果使用者名稱為user，密碼為user的使用者成功登入了，它的角色是ROLE_USER ,那麼他可以訪問規定的資源。-->
<security:authentication-provider user-service-ref="userInfoProvider">
<!--密碼採用md5加密方法，admin加密之後21232f297a57a5a743894a0e4a801fc3-->
<security:password-encoder hash="md5" base64="true"/>
<!--<security:user-service>-->
                            <!--<security:user name="user" password="21232f297a57a5a743894a0e4a801fc3" authorities="ROLE_USER" />-->
                     <!--</security:user-service>-->
</security:authentication-provider>
       </security:authentication-manager>
<!--一個自定義的filter，必須包含authenticationManager,accessDecisionManager,securityMetadataSource三個屬性,我們的所有控制將在這三個類中實現-->
<beans:bean id="myFilter" class="com.flx.base.filter.MyFilterSecurityInterceptor">
              <beans:property name="authenticationManager" ref="authenticationManager"/>
              <beans:property name="accessDecisionManager" ref="accessDecisionManager"/>
              <beans:property name="securityMetadataSource" ref="securityMetadataSource"/>
       </beans:bean>
<!--在這個類中，你就可以從資料庫中讀入使用者的密碼，角色資訊，是否鎖定，賬號是否過期等 -->
<beans:bean id="userInfoProvider" class="com.flx.base.security.secuser.service.impl.UserInfoServiceImpl"/>
<!--資源源資料定義，將所有的資源和許可權對應關係建立起來，即定義某一資源可以被哪些角色訪問 -->
<beans:bean id="securityMetadataSource" class="com.flx.base.filter.MySecurityMetadataSource"/>
<!--訪問決策器，決定某個使用者具有的角色，是否有足夠的許可權去訪問某個資源 -->
<beans:bean id="accessDecisionManager" class="com.flx.base.filter.MyAccessDesisionmanager"/>
<!--登入成功-->
<bean id="loginSuccessHandler" class="com.flx.base.handler.MyLoginSuccessHandler"/>
<!--登出成功-->
<bean id="logoutSuccessHandler" class="com.flx.base.handler.MyLogoutSuccessHandler"/>
<!--登入失敗-->
<bean id="loginFailHandler" class="com.flx.base.handler.MyLoginFailHandler"/>
</beans>

Spring Security許可權管理相關配置加註解

<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2

Spring Security許可權管理框架

Spring Security Spring Security是作為過濾器控制權限的，在web.xml中配置過濾器。 <filter> <filter-name>springSecurityFilterChain</

Spring安全許可權管理（Spring Security的配置使用）

1.Spring Security簡要介紹Spring Security以前叫做acegi，是後來才成為Spring的一個子專案，也是目前最為流行的一個安全許可權管理框架，它與Spring緊密結合在一起。Spring Security關注的重點是在企業應用安全層為您提供服務，

spring boot後臺管理系統，spring security許可權控制

隨著spring boot的出現，java又上升了一個層次，以往tomcat部署war的形式也改變了，現在可以直接一個jar包、一行命令，真正實現一次編譯隨處執行的理念了。閒暇之餘小威老師做了一個以spring boot為後臺，layui、bootstr

spring security+cas(cas proxy配置)

interface iteye RF lns key sock nag spec uitable 什麽時候會用到代理proxy模式？舉一個例子：有兩個應用App1和App2，它們都是受Cas服務器保護的，即請求它們時都需要通過Cas 服務器的認證。現在需要在App1中通過

spring security 5.0 密碼未加密報錯

bean opp work 加密方式 user enc zhang dmi 之前使用spring security5.0後，配置文件中直接寫普通的密碼如：123456，會報錯: java.lang.IllegalArgumentException: There is no

spring實戰-Spring-security許可權認證白名單

第九篇：spring實戰-Spring-security許可權認證白名單當我們為程式設定許可權認證時，主要是希望能夠保護需要保護的功能，並不是說所有的功能都需要被保護起來，比如說系統主頁，幫助中心等等此時我們可以通過白名單的方式，讓某些功能對未登入使用者公開，Spring-secur

Springboot： Springboot + spring boot admin 監控 spring security許可權控制

Springboot admin 很好的提供了對Springboot的監控，但是不建議直接將admin整合到已有的專案中。於是我另起一個專案，考慮到不能讓所有人都能看到這些資料了，於是引入了spring security。本次使用的是spring-boot-admin-s

Spring Security --- 許可權控制安全框架入門簡介

Spring Security — 許可權控制安全框架入門簡介一、Spring Security簡介 Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中

Spring Security --- 許可權控制安全框架入門簡介

Spring Security --- 許可權控制安全框架入門簡介2018年09月20日 20:54:42 sunny2429 閱讀數：17 Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一

Spring Boot健康檢查相關配置和整理

1.什麼是Spring Boot的健康檢查，有什麼用？ Spring Boot提供了多項元件的健康檢查，有利於監控各元件執行狀況，但是有時開發者因此會啟動不成功，報錯等，需要合理配置。 2.Spring Boot專案中都有哪些檢查，如何配置

Spring——容器，注入（配置和註解兩種方式）

一、Spring的容器： 1.什麼是控制反轉：傳統的方法，當某個java物件A需要呼叫物件B時，是由呼叫者（物件A）通過new關鍵字來建立物件B的，而在Spring中，則是由spring完成建立的，所以“控制反轉”了。 2.容器： Spring容器是Spring的核心。例

Spring AOP Maven依賴，攔截加註解的方法引數

<dependency> <groupId>org.springframework</groupId&g

SPRING-SECURITY安全Web框架配置

<pre name="code" class="html"><?xml version="1.0" encoding="UTF-8"?> <beans:beans xml

[spring security 那點事兒]配置方式

這段時間一直開發的B2C的網購平臺已經完成了將近一半的功能，突然覺得自己之前對於許可權管理方面的hold決定將給後面帶來不小的工作量，所以決定現在就加入許可權判斷的功能。很容易聯想到spring security來做這個事情，先看看一個官方文件的翻譯版本：寫的有些簡略，但

當Spring同時使用了XML配置和註解

AccountServiceCenter專案中有些依賴注入的Bean同時使用了XML配置和註解的方式進行了宣告，網上有人說這種情況下註解的優先順序高，但我測試過後發現當兩種方式並存的時候Spring是優先使用XML配置

spring-mvc開發模式相關配置

1.web.xml檔案配置  <servlet> <servlet-name>springmvc</servlet-name> <servlet-

Spring Security 4.X xml配置重定向

<global-method-security pre-post-annotations="enabled" /> <form-login login-page="/login

Spring中事物管理器配置

Spring自帶事物管理器，只需要配置一下，方法進行規範命名即可第一步：建立一個Spring事物管理器第二步：配置行為propagation="REQUIRED" 指如果當前有事物就在該事物中執行，如果沒有，就開啟一個新的事物（增刪改查中）propagation="SUPPO

SqlMapConfig配置加註解

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE configuration PUBLIC "-//mybatis.org//DTD Config 3.0//EN" "http://mybatis.org/d

Spring Security許可權管理相關配置加註解

相關推薦