2. 程式人生 > >【Spring Security實戰系列】Spring Security實戰(四)

【Spring Security實戰系列】Spring Security實戰(四)

阿新 發佈:2019-02-15
<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:sec="http://www.springframework.org/schema/security" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.1.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.0.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd"> <!-- 配置不過濾的資源(靜態資源及登入相關).是忽略攔截某些資源的意思,主要是針對靜態資源 --> <http pattern="/**/*.css" security="none"></http> <http pattern="/**/*.jpg" security="none"></http> <http pattern="/**/*.jpeg" security="none"></http> <http pattern="/**/*.gif" security="none"></http> <http pattern="/**/*.png" security="none"></http> <http pattern="/js/*.js" security="none"></http> <http pattern="/login.jsp" security="none"></http> <http pattern="/getCode" security="none" /><!-- 不過濾驗證碼 --> <http pattern="/test/**" security="none"></http><!-- 不過濾測試內容 --> <http auto-config="false"> <intercept-url pattern="/login.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY" />
<!-- 表示訪問app.jsp時,需要ROLE_SERVICE許可權 --> <intercept-url pattern="/adminPage.jsp" access="hasRole('ROLE_ADMIN')"></intercept-url> <!--表示訪問任何資源都需要ROLE_ADMIN許可權。--> <intercept-url pattern="/**" access="hasRole('ROLE_USER')"></intercept-url> <!-- 登陸頁面肯定是不能攔截的,任何人都應該可以訪問, <intercept-url pattern="/login.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY" />配置表示允許匿名使用者訪問, 就是不用身份都可以訪問; 還有另一種配置方式:<http pattern="/login.jsp" security="none"></http>,這種配置達到的目的都是一樣的。 --> <!-- form-login這個標籤是配置登陸頁面的,其中的屬性login-page是配置登陸頁面的, default-target-url配置登陸成功後跳轉到的頁面, authentication-failure-url配置認證失敗後的跳轉頁面。 form-login標籤中還有一個特別要注意的屬性use-expressions,如果設定為true, 這配置access就要做相應的改變,否則專案啟動的時候會報錯。 如果use-expressns="true"時,則表示改為 SpEL 表示式。 SpEL 允許使用特定的訪問控制規則表示式語言。 與簡單的字串如 ROLE_USER 不同,配置檔案可以指明表示式語言觸發方法呼叫、引用系統屬性、計算機值等等。 如 :<intercept-url pattern="/login.jsp" access="permitAll" /> --> <form-login login-page="/login.jsp" default-target-url="/index.jsp" always-use-default-target="false" authentication-failure-url="/login.jsp?error=true"></form-login> <!-- logout這個標籤用來配置退出或者登出,其中的屬性invalidate-session, 配置否是要清除session,logout-success-url配置登出成功後的跳轉頁面, logout-url提交退出或者登出的地址,因此我們在配置退出或者登出的時候, 只需要將url設定為/j_spring_security_logout即可,這個地址也是security內部實現了的。 --> <logout invalidate-session="true" logout-success-url="/login.jsp" logout-url="/j_spring_security_logout"></logout> <!--將CSRF保護功能禁用,設定為true即為啟用--> <!-- 必須新增此段宣告,禁用CSRF功能 --> <!-- <csrf disabled="false"/>--> <!--<csrf request-matcher-ref="csrfSecurityRequestMatcher"></csrf>--> <!-- max-sessions只容許一個賬號登入,error-if-maximum-exceeded 後面賬號登入後踢出前一個賬號, expired-url session過期跳轉介面 如果concurrency-control標籤配置了error-if-maximum-exceeded="true",max-sessions="1", 那麼第二次登入時,是登入不了的。如果error-if-maximum-exceeded="false", 那麼第二次是能夠登入到系統的,但是第一個登入的賬號再次發起請求時,會跳轉到expired-url配置的url中--> <session-management session-authentication-error-url="/login.jsp"> <concurrency-control max-sessions="1" error-if-maximum-exceeded="false" expired-url="/login.jsp" session-registry-ref="sessionRegistry" /> </session-management> <expression-handler ref="webexpressionHandler" ></expression-handler> </http> <!--這裡添加了一個屬性execludeUrls,允許人為排除哪些url。 這裡約定所有/rest/開頭的都是Rest服務地址,上面的配置就把/rest/排除在csrf驗證的範圍之外了. 原始碼可以發現,POST方法被排除在外了,也就是說只有GET|HEAD|TRACE|OPTIONS這4類方法會被放行, 其它Method的http請求,都要驗證_csrf的token是否正確, 而通常post方式呼叫rest服務時,又沒有_csrf的token,所以校驗失敗。 解決方法:自己弄一個Matcher--> <!--<beans:bean id="csrfSecurityRequestMatcher" class="cn.quan.ssm.sec.CsrfSecurityRequestMatcher"> <beans:property name="execludeUrls"> <beans:list> <beans:value>/rest/</beans:value> </beans:list> </beans:property> </beans:bean>--> <beans:bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl"/> <!--配置web端使用許可權控制--> <beans:bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler"/> <!-- 匯入資料來源 --> <beans:import resource="applicationContext-dataSource.xml"></beans:import> <!-- 預設資料庫對使用者進行儲存 Spring Security預設情況下需要兩張表,使用者表和許可權表。--> <authentication-manager> <authentication-provider> <!-- <user-service> <user name="admin" password="123" authorities="ROLE_USER, ROLE_ADMIN" /> <user name="user" password="123" authorities="ROLE_USER" /> </user-service>--> <jdbc-user-service data-source-ref="mysqlDataSource" users-by-username-query="select username,`password`,`status` as enabled from `user` where username = ?" authorities-by-username-query="select `user`.username,role.`name` from `user`,role,user_role where `user`.id=user_role.user_id and user_role.role_id=role.id and `user`.username = ?" /> </authentication-provider> </authentication-manager> </beans:beans>

相關推薦

Spring Security實戰系列Spring Security實戰(七)

<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.sp

Spring Security實戰系列Spring Security實戰(三)

Spring Security實戰(二)中講解了用Spring Security自帶的預設資料庫儲存使用者和許可權的資料,但是Spring Security預設提供的表結構太過簡單了,其實就算預設提供的表結構很複雜,也不一定能滿足專案對使用者資訊和許可權資訊管理的要求。那麼

Spring Security實戰系列Spring Security實戰()

<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.sp

Spring Security OAuth2筆記系列- Spring Social第三方登入

QQ登入 上一章節完成了 ServiceProvider的功能,這一節完成應用內部的需要做的一些功能 注意看這個官網文件: https://docs.spring.io/spring-social/docs/1.1.x/ 由於在spring-bo

Spring系列——Spring Framework簡介(二)

目錄 Core Container Core Container由spring-core,spring-beans,spring-context,spring-context-support,and spring-expression這些模組組成。

Spring錯誤筆記系列自己new出來的bean中被@Autowired註解修飾的屬性報空指標異常:java.lang.NullPointException

自己new出來的bean中被@Autowired註解修飾的屬性報空指標異常 異常描述 原本我再測試RabbitMQ的傳送程式,裡面用到了一個AmqpTemplate介面,用了@Autowired註解。但是當我使用AmqpTemplate的conver

spring系列- Spring的FactoryBean的基本認識

FactoryBean:工廠Bean IOC容器內部一種特殊的Bean,主要作用就是管理內部的Bean例項物件(單例/原型物件),扮演類似工廠的角色 特點: 通過Bean名稱只能獲取其生產的物件,

Spring原始碼分析系列ApplicationContext 相關介面架構分析

在使用Spring的時候,我們經常需要先得到一個ApplicationContext物件,然後從該物件中獲取我們配置的Bean物件

學習底層原理系列重讀spring原始碼1-建立基本的認知模型

開篇閒扯 在工作中,相信很多人都有這種體會,與其修改別人程式碼,寧願自己重寫。 為什麼? 先說為什麼願意自己寫: 從0-1的過程,是建立在自己已有認知基礎上,去用自己熟悉的方式構建一件作品。也就是說, 1.對目標的認知是熟悉的(當然每個人水平可能不一樣,也有可能是錯的,這不重要,重要的是自認為是符合的); 2

Redis系列Spring boot實現監聽Redis key失效事件

> talk is cheap, show me the code. ## 一、開啟Redis key過期提醒 - 方式二:修改配置檔案 `redis.conf` ``` # 預設 notify-keyspace-events "" notify-keyspace-events Ex

spring源碼學習spring的IOC容器之BeanFactoryPostProcessor接口學習

時機 process roc sta 自動 註解 lis nbsp factor 【一】org.springframework.beans.factory.config.BeanFactoryPostProcessor接口==>該接口實現方法的執行時機:該接口void

spring源碼學習spring的AOP面向切面編程的實現解析

內部 遠程調用 關註 add aps 文件 uem 連接 row 一:Advice(通知)(1)定義在連接點做什麽,為切面增強提供織入接口。在spring aop中主要描述圍繞方法調用而註入的切面行為。(2)spring定義了幾個時刻織入增強行為的接口??=>org.

spring源碼學習spring的遠程調用實現源碼分析

數據 編碼方式 ria date 技術 color nbsp mvc err 【一】spring的遠程調用提供的基礎類 (1)org.springframework.remoting.support.RemotingSupport ===>spring提供實現的遠程調

spring源碼學習spring配置的事務方式是REQUIRED,但業務層拋出TransactionRequiredException異常問題

uncaught easy lap api tee class odi lose gre (1)spring拋出異常的點:org.springframework.orm.jpa.EntityManagerFactoryUtils public static DataAc

Spring4(一)Spring的概述、入門、Bean管理和屬性注入

Spring的概述 Spring的概述 什麼是Spring ​​ Spring:SE/EE開發的一站式框架。 一站式框架:有EE開發的每一層解決方案。 WEB層 :SpringMVC Service層

Java Web開發學習Spring JPA

【Java Web開發學習】Spring JPA  轉載:https://www.cnblogs.com/yangchongxing/p/10082864.html   1、使用容器管理型別的JPA JNDI資料來源 package cn.ycx.config; impo

演算法實戰系列之兩數相加

給出兩個 非空 的連結串列用來表示兩個非負的整數。其中,它們各自的位數是按照 逆序 的方式儲存的,並且它們的每個節點只能儲存 一位 數字。 如果,我們將這兩個數相加起來,則會返回一個新的連結串列來表示它們的和。 您可以假設除了數

Spring4(三)Spring的事務管理和JDBC模板的使用

Spring 的 AOP 的基於 AspectJ 註解開發 Spring 的基於AspectJ 的註解的 AOP 開發 建立專案,引入 jar 包 引入配置檔案 applicationContext.

Spring官方指南學習Spring構建一個 restful web service

【Spring學習筆記,稍作記錄,主要參考Spring官網 http://spring.io/guides】 構建一個restful web service 理解如何用spring去構建一個簡單的 “hello world” Restful we

Java Websocket例項專案實戰系列

現很多網站為了實現即時通訊,所用的技術都是輪詢(polling)。輪詢是在特定的的時間間隔(如每1秒),由瀏覽器對伺服器發 出HTTP request,然後由伺服器返回最新的資料給客服端的瀏覽器。這種傳統的HTTP request 的模式帶來很明顯的缺點 – 瀏 覽器需要