spring security2

最新推荐文章于 2025-02-10 09:32:27 发布
原创 最新推荐文章于 2025-02-10 09:32:27 发布 · 258 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java
本文深入探讨了如何使用Spring Security实现基于角色和HTTP的基本认证的安全配置,包括自定义过滤器、登录和登出流程,以及权限管理策略。 
  <?xml version="1.0" encoding="UTF-8" ?> 
- <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.4.xsd">
- <http access-denied-page="/403.jsp" auto-config="true">
  <intercept-url pattern="/resources/images/**" filters="none" /> 
  <intercept-url pattern="/resources/js/**" filters="none" /> 
  <intercept-url pattern="/resources/css/**" filters="none" /> 
  <intercept-url pattern="/resources/style/**" filters="none" /> 
  <intercept-url pattern="/resources/flash/**" filters="none" /> 
  <intercept-url pattern="/messagebroker/**" filters="none" /> 
  <intercept-url pattern="/commons/**" filters="none" /> 
  <intercept-url pattern="/login.jsp" filters="none" /> 
  <intercept-url pattern="/index.jsp" filters="none" /> 
  <intercept-url pattern="/servlet/jugServlet" filters="none" /> 
  <intercept-url pattern="/security/user!userLogin.do" filters="none" /> 
  <intercept-url pattern="/config/sysconfig!**" filters="none" /> 
  <intercept-url pattern="/install_flash_player_10_active_x.exe" filters="none" /> 
  <intercept-url pattern="/resources/PubwinKey.cab" filters="none" /> 
  <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true" default-target-url="/view/module/mainframe.jsp" always-use-default-target="true" /> 
  <logout logout-url="/j_spring_security_logout" logout-success-url="/login.jsp" invalidate-session="true" /> 
  <http-basic /> 
  </http>
- <!-- 获取用户权限信息
  --> 
- <authentication-provider user-service-ref="userDetailsPoliceService">
  <password-encoder ref="userPasswordEncoder" /> 
  </authentication-provider>
- <!-- 资源的控制
  --> 
- <beans:bean id="resourceSecurityInterceptor" class="org.springframework.security.intercept.web.FilterSecurityInterceptor">
  <beans:property name="authenticationManager" ref="authenticationManager" /> 
  <beans:property name="accessDecisionManager" ref="accessDecisionManager" /> 
- <!-- 指定你的过滤器应该出现的位置
  --> 
  <custom-filter before="FILTER_SECURITY_INTERCEPTOR" /> 
  <beans:property name="objectDefinitionSource" ref="secureResourceFilter" /> 
- <!-- 在第一次进行过安全检查之后就不会再做了 
  --> 
  <beans:property name="observeOncePerRequest" value="false" /> 
  </beans:bean>
  <beans:bean id="loggerListener" class="org.springframework.security.event.authentication.LoggerListener" /> 
  <authentication-manager alias="authenticationManager" /> 
- <beans:bean id="accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">
  <beans:property name="allowIfAllAbstainDecisions" value="false" /> 
- <beans:property name="decisionVoters">
- <beans:list>
  <beans:bean class="org.springframework.security.vote.RoleVoter" /> 
  <beans:bean class="org.springframework.security.vote.AuthenticatedVoter" /> 
  </beans:list>
  </beans:property>
  </beans:bean>
  </beans:beans>

 

 

 

 

 

import java.util.Collection;

import javax.annotation.Resource;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.ConfigAttributeDefinition;
import org.springframework.security.intercept.web.FilterInvocation;
import org.springframework.security.intercept.web.FilterInvocationDefinitionSource;
import org.springframework.stereotype.Service;

/**
 * 
 * @author tangj
 */
@Service
public class SecureResourceFilter implements FilterInvocationDefinitionSource {

	@Override
	public ConfigAttributeDefinition getAttributes(Object filter) throws IllegalArgumentException {

		FilterInvocation filterInvocation = (FilterInvocation) filter;
//		System.out.println(filterInvocation.getHttpRequest().getRemoteAddr());
		
		UserInfo user=this.userService.getSessionUserInfo();
		if(user!=null){
			user.getEntity().setIpAddress(filterInvocation.getHttpRequest().getRemoteAddr());
		}

//		Map<String, String> urlAuthorities = userDetails.getUrlMenuNameResources();

//		FilterInvocation filterInvocation = (FilterInvocation) filter;
//		String requestURL = filterInvocation.getRequestUrl();
//		String requestURlIndex = requestURL.split("\\?")[0];
//		if (logger.isDebugEnabled()) {
//			logger.debug("requestURL::::" + requestURL);
//			logger.debug("requestURlIndex::::" + requestURlIndex);
//		}

//		if (requestURlIndex.indexOf("!") > 0) {
//			if (urlAuthorities.get(requestURlIndex) != null) {
//			} else {
//				// throw new
//				// AccessDeniedException("User has no AccessDeniedException:" +
//				// requestURL);
//			}
//		} else {
//		}

		return null;
	}

	@Override
	public Collection getConfigAttributeDefinitions() {
		return null;
	}

	@Override
	public boolean supports(Class clazz) {
		return true;
	}

	
	
}

 

rq2
关注
专栏目录
spring security2.x配置
03-25
详细的spring security2.x配置
spring security2配置
04-20
NULL 博文链接:https://huttoncs.iteye.com/blog/1900180
spring security
qq_45947664的博客
10-14 297
1、在UsernamePasswordAuthenticationFilter前加入了一个自定义的filter,如果用户带了token来进行访问则——进行jwt拦截校验;如果没有则放行,dofilterchain(res,req),因为后面如果还是未登录状态,authenticed:false,就会被后面的拦截器,把请求返回的资源拦截。2、重写UserDetailsService方法里的loadUserByUsername方法,实现从数据库中查找数据,原来框架默认方法是从内存InMemory里查找。
Spring Security Oauth2架构学习
waooi的博客
04-16 3718
目录 1.基本概念 2.授权码模式 3.密码模式 4.JWT加密令牌 5.SpringSecurityOauth2整合JWT 刷新令牌 1.基本概念 简介,Oauth协议为用户资源的授权提供了一个安全的,开放而又简易的标准,同时,任何第三方都可以使用Oauth认证服务,目前Oauth是2.0版本使用最为广泛. 分析一下网站使用vx认证的过程: 1.首先用户想访问资源,需要认证,使用第三方认证比如(vx,qq,新浪等等) 2.用户确认使用第三方认证,那么需要向对应的第三方
Spring Security OAuth2详解
qq_33814479的博客
10-12 7806
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
SpringSecurity-OAuth2万文详解
weixin_68320784的博客
04-11 1万+
SpringSecurity-OAuth2万文详解 Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。Oauth协议为用户资源的授权提供一个安全、开放并且简易的规范标准。和以往授权不同的是Oauth不会使第三方触及到用户的账号信息(用户和密码),也就是说第三方不需要使用用户的用户名和密码就可以获取到该用户的用户资源权限。 OAuth2设计的角色 资源所有者(Resource Owner):通常是用户(User),如昵称、头像这些资源的拥有者(用户只是将这些资源放到服务提供商...
Spring Security(二)
m0_49532843的博客
09-09 304
Spring Security的架构设计中,认证(Authentication)和授权(Authorization)是分开的,无论使用什么样的认证都不影响授权,这是两个独立的存在,这种独立带来的好处之一,就是Spring Security可以非常方便的整合一些外部的认证方案。在Spring Security中,用户的认证信息主要由Authentication的实现类来保存,Authentication接口定义如下: 当用户使用用户名/密码登录或使用Remember-me登录时,都会对应一个不同的Authe
Spring Security Oauth2
Feng_ZiYou的博客
11-05 2117
1用户认证需求分析 1.1 用户认证与授权 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权? 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。 1.2 单点登录需求 一个项目可以包括多个子项目,如:学习系统,教学管理中心、系统管理中心等,为了提高用户体验性需要实现用户只认证一次
spring security OAuth2 支持
nmg_tl的博客
07-14 2886
是向授权服务器注册的客户端。客户端必须先向授权服务器注册,然后才能启动授权授予流(如authorization_code或client_credentials),在客户端注册期间,客户端被分配一个唯一的客户端标识符(clientId),(可选地)一个客户端秘密(clientSecret)(取决于客户端类型),以及与其唯一客户端标识符相关联的元数据。客户机的元数据可以是面向人的显示字符串(如客户机名称),也可以是特定于协议流的项(如有效重定向uri列表)。
Spring Security和oauth2的关系
geejkse_seff的博客
08-02 4225
网上有很多SpringSecurity和oauth2的介绍,但是对于初学者来说,上手比较复杂,本篇从原理上梳理一下两者之间的联系和区别参见【SpringSecurity】基本功能介绍springsecurity的核心功能主要包括认证(你是谁)通过注解开启简单来说,就是需要登录,你需要输入用户名和密码,才能访问某个url。授权(你能干什么)不需要通过指定的开关开启,而是通过配置来增加授权规则来生效,不增加授权规则就不生效一种是同步session不需要再次输入用户名和密码。...
Spring Security Oauth2 扩展登录方式
zhuwei_clark的博客
01-14 3037
第一步:新建filter,这里以手机验证码登录为例子 /** * @Author: 朱维 * @Date 16:52 2019/11/27 * /phoneLogin?telephone=13000000000&smsCode=1000 */ public class PhoneLoginAuthenticationFilter extends AbstractAuthenti...
SpringSecurity OAuth2实现单点登录,微信扫码登录,Redis缓存验证码---入门到实战
热门推荐
m0_62681080的博客
04-25 3万+
SpringSecurity OAuth2实现用户认证权限,包含微信扫码登录、Redis缓存验证码、发布邮箱测试、用户登录、注册、忘记密码功能实现
Spring Security OAuth2 入门
最新发布
2501_90433058的博客
02-10 1109
因为,我们使用的是 SpringBoot 的版本为 1.5.16.RELEASE ,所以使用的 Spring Security 的版本为 4.2.8.RELEASE ,Spring Security OAuth2 的版本为 2.2.0.15.RELEASE。所以,笔者猜测,之所以图中画的是 Implicit Grant 的原因是,受 Google 的 《OAuth 2.0 for Client-side Web Applications》 一文中,推荐使用了 Implicit Grant。
Spring Security超详细教程,白话文教学,包会的!!!
ZwProgrammer的博客
01-03 2353
SpringSecurity 白话文超详细教程
Spring Security
CSDN_LiMingfly的博客
12-26 1005
其实就算你不使用 Spring Security 你自己做一个登录的功能,以及允许登录的用户可以操作的流程,也要做这样的事情。appAccessDeniedHandler、appUnauthorizedHandler,是自定义的鉴权拦截,如果登录不通过,可以统一返回给前端一个固定的错误码,便于跳转登录。Spring Security 在内部维护一个过滤器链,其中每个过滤器都有特定的职责,并且根据所需的服务在配置中添加或删除过滤器。那么这里所做的就是认证授权的配置,对哪些URL进行放行,哪些是要做拦截。
Spring Security OAuth2笔记系列】- spring security - 基本原理
代码有毒的博客
08-20 2045
基本原理 打开security的依赖 compile('org.springframework.cloud:spring-cloud-starter-security') 打开之后默认就保护了所有的请求路径;访问任意一个都会跳转到一个默认的用户密码登录认证页面, 用户名固定的:user 密码,项目启动日志打印出来的(每次启动都不一样):Using generated securit...
SpringSecurity(二)
hangkhang的博客
08-20 810
前言 本篇文章将会将认证以及授权一并学习完成,话不多说,那就让我们开始SpringSecurity的第二段旅程吧。 认证的进阶(四) 自定义登录成功处理器 之前我们登录成功以后会去Controller实现一个跳转,由于目前的项目都实现了前后端分离,所以后端就不需要再管页面跳转了,交给前端即可。假如我们登录成功后需要跳转到csdn界面,如果将网址直接写在successForwardUrl,就会出现问题的。 .successForwardUrl("https://www.csdn.net") 如果这样写的话,
Spring Security——session管理
weixin_33921089的博客
05-05 395
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity2
weixin_44971379的博客
04-23 392
核心类 WebSecurityConfigurerAdapter 自定义Security策略 AuthenticationManagerBuilder 自定义Security策略 @EnableWebSecurity 开启WebSecurity模式 核心依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-secur
SpringSecurity小Demo
weixin_37121451的博客
06-21 1163
转载的这位老师的 http://blog.csdn.net/sz_bdqn/article/details/6661665Demo下载地址:http://pan.baidu.com/s/1mihwt1Q 目录结构: 1.首先导入jar包 spring-2.5.6.jar spring-security-acl-2.0.5.jar spring-security-core-2.0.5.jar
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值