文档章节

SpringSecurity安全性框架实战

流浪的木马
 流浪的木马
发布于 2017/01/19 10:24
字数 1164
阅读 4038
收藏 199

大家好,本人最近在学习spring4,参考了书籍,写了一些demo(基于Servlet3.0,JDK7.0,Spring4,Tomcat8),欢迎讨论。

在上个月发了一篇《Spring4纯注解启动》的博客https://my.oschina.net/u/1757198/blog/815940

SpringSecurity是基于Spring的应用程序提供声明式安全保护的安全性框架。我能力有限,无法写出一篇详解,只能成功使用,逻辑大概明白而已,让大家见笑了。

Maven:

		<!-- spring-security -->
		<dependency>
	        <groupId>org.springframework.security</groupId>
	        <artifactId>spring-security-web</artifactId>
	        <version>4.2.1.RELEASE</version>
	    </dependency>
	    <dependency>
		    <groupId>org.springframework.security</groupId>
		    <artifactId>spring-security-config</artifactId>
		    <version>4.2.1.RELEASE</version>
		</dependency>

主要类:(红色框内)

----------------------------------

SpringSecurity借助一系列ServletFilter来提供各种安全性功能。

DelegatingFilterProxy是一个特殊的ServletFilter,它本身所做的工作并不多,只是将工作委托给了一个javax.servlet.Fitler实现类,这个实现类注册在Spring应用的上下文。

它把Fitler的处理逻辑委托给Spring应用上下文中所定义的一个代理FitlerBean。

SecurityWebInitializer:

/**
 * 注册DelegatingFilterProxy
 * @author zoe
 * 2017年1月17日
 * DelegatingFilterProxy是一个特殊的ServletFilter,它本身所做的工作并不多,只是将工作委托给了一个javax.servlet.Fitler实现类,这个实现类注册在Spring应用的上下文。
 */
public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {

}

SecurityConfig:

package com.spittr.config;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.sql.DataSource;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.csrf.CsrfToken;
import org.springframework.security.web.csrf.CsrfTokenRepository;
import org.springframework.stereotype.Repository;
import org.springframework.test.annotation.Repeat;

/**
 * SpringSecurity启动配置类
 * @author zoe
 * 2017年1月17日
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	
	@Autowired
	private DataSource dataSource;
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		/**  第一种将用户资料存储在内存中   **/
//		auth.inMemoryAuthentication().withUser("user").password("123456").roles("USER").and().withUser("admin").password("admin").roles("USER","ADMIN");
		
		/**  第二种使用关系型数据库  
		//这3个是安全框架默认的查询,前提是你的表跟它预期的一样,一般情况不会,所以要重写这类查询
		//将默认sql查询替换要遵循查询的基本协议。所有查询都将用户名作为唯一的参数。
		String DEF_USERS_BY_USERNAME_QUERY = "select username,password,enabled "
				+ "from users " + "where username = ?";
		String DEF_AUTHORITIES_BY_USERNAME_QUERY = "select username,authority "
				+ "from authorities " + "where username = ?";
		String DEF_GROUP_AUTHORITIES_BY_USERNAME_QUERY = "select g.id, g.group_name, ga.authority "
				+ "from groups g, group_members gm, group_authorities ga "
				+ "where gm.username = ? " + "and g.id = ga.group_id "
				+ "and g.id = gm.group_id";
		
		//查询用户名,密码,是否启用等,用来进行用户认证
		auth.jdbcAuthentication().dataSource(dataSource).usersByUsernameQuery(DEF_USERS_BY_USERNAME_QUERY);
		//查询用户所授予的权限,用来进行鉴权  0或多条
		auth.jdbcAuthentication().dataSource(dataSource).authoritiesByUsernameQuery(DEF_AUTHORITIES_BY_USERNAME_QUERY);
		//查询用户群组的成员所授予的权限 0或多条
		auth.jdbcAuthentication().dataSource(dataSource).groupAuthoritiesByUsername(DEF_GROUP_AUTHORITIES_BY_USERNAME_QUERY);
		**/
		
		/**  第三种使用自定义认证,随意搭配方式   **/
		UserDetailsService userDetailsService = new SecurtityUserDetailService();
		auth.userDetailsService(userDetailsService);
	}

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry authorizeRequests = http.authorizeRequests();
		
		/**在authorizeRequests.antMatchers()的返回值中可以继续调用hasAnyAuthority()或者hasRole()这2个方法,
		看起来一个是权限,一个是角色,但是仔细研究,你会发现,hasRole只是hasAnyAuthority它的一个简写版
		所以在这个框架中,我认为能控制到角色这一层**/
		//Specify that URLs require a particular authority.
		authorizeRequests.antMatchers("/form.do").hasAuthority("ROLL_ADMIN");
		//Shortcut for specifying URLs require a particular role. If you do not want to have "ROLE_" automatically inserted see hasAuthority(String).
		authorizeRequests.antMatchers("/form.do").hasRole("ADMIN");
		
		authorizeRequests.antMatchers("/form.do").authenticated();//authenticated()必须已经登录了应用
		authorizeRequests.anyRequest().permitAll();//允许其他请求通过
		http.formLogin().loginPage("/login.html").loginProcessingUrl("/login.do").defaultSuccessUrl("/index.html")//登录首页,默认验证通过后登录index.html,验证请求/login.do
		.and().httpBasic()//开启httpBasic认证
		.and().logout().logoutUrl("/logout.do").logoutSuccessUrl("/login.html")//登出后,跳转login.html
		.and().rememberMe().tokenValiditySeconds(3600).key("securityKey")//记住我 cookies 中会记录 一小时后失效 60*60
		.and().csrf().disable();//禁用CSRF保护功能
	}
}

SecurtityUserDetailService:

/**
 * 自定义用户认证
 * @author zoe
 * 2017年1月17日
 */
public class SecurtityUserDetailService implements UserDetailsService {

	@Override
	public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
		
		List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
		//模拟admin权限
		authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
		//模拟admin用户
		SecurityUser securityUser = new SecurityUser("admin","admin",authorities);
		
		return securityUser;
	}

}

SecurityUser:

/**
 * 安全认证用户
 * @author zoe
 * 2017年1月17日
 * 注意,在下方的一些boolean型的参数,默认是false,认证会失败
 */
public class SecurityUser implements UserDetails {
	
	private String userName;
	private String password;

	private Collection<? extends GrantedAuthority> authorities;
	/**
	 * 
	 */
	private static final long serialVersionUID = 1L;
	
	public SecurityUser(String userName,String password){
		this.userName = userName;
		this.password = password;
	}
	
	public SecurityUser(String userName,String password,Collection<? extends GrantedAuthority> authorities){
		this.userName = userName;
		this.password = password;
		this.authorities = authorities;
	}

	@Override
	public Collection<? extends GrantedAuthority> getAuthorities() {
		return this.authorities;
	}

	@Override
	public String getPassword() {
		// TODO Auto-generated method stub
		return this.password;
	}

	@Override
	public String getUsername() {
		// TODO Auto-generated method stub
		return this.userName;
	}

	@Override
	public boolean isAccountNonExpired() {
		// TODO Auto-generated method stub
		return true;
	}

	@Override
	public boolean isAccountNonLocked() {
		// TODO Auto-generated method stub
		return true;
	}

	@Override
	public boolean isCredentialsNonExpired() {
		// TODO Auto-generated method stub
		return true;
	}

	@Override
	public boolean isEnabled() {
		// TODO Auto-generated method stub
		return true;
	}

}

login.html:

			<form action="/login.do" method="post">
				<div>
					<input type="text" name="username" class="username" placeholder="用户名" autocomplete="off" />
				</div>
				<div>
					<input type="password" name="password" class="password" placeholder="密码" oncontextmenu="return false" onpaste="return false" />
				</div>
				<div class="remember">
					<input type="checkbox" name='remember-me'/><span>下次自动登录</span>
				</div>
				<button id="submit" type="submit">登录</button>
			</form>

index.html:

<a href="/logout.do">登出</a>

 

© 著作权归作者所有

流浪的木马
粉丝 20
博文 3
码字总数 2196
作品 0
南京
程序员
私信 提问
加载中

评论(17)

MGL_TECH
MGL_TECH
ss不支持salt(盐)
nealma
nealma
http://nealma.com/2016/04/30/spring-boot-4-security/ 自己做着玩的,希望对你们有帮助
贾珣
贾珣

引用来自“yuni2015”的评论

想问一下楼主,SpringSecurity中,角色和权限是怎么区分的?一般来说一个角色对应一个或多个权限的,一个权限和可以属于多个角色的,也就是说,如何在SpringSecurity配置角色和权限的关系?

引用来自“贾珣”的评论

同问。Spring Security里是一个基于角色的访问控制,没有看到权限控制的部分。另,“基于角色的访问控制”里权限怎么设计呢?配合Spring MVC的情况,又是如何设计呢?每一个URL写一条记录到数据库表吗?

引用来自“HideHai”的评论

这个问题,在SS下是可以控制的,在博主代码的SecurtityUserDetailService 类中,可以对当前角色的权限和资源做出自定义。这样就和SS框架的机制结合起来了。

自定义的方式,可以是从数据库中去获取也可以是由配置来处理。😃
谢谢~
流浪的木马
流浪的木马 博主

引用来自“yuni2015”的评论

想问一下楼主,SpringSecurity中,角色和权限是怎么区分的?一般来说一个角色对应一个或多个权限的,一个权限和可以属于多个角色的,也就是说,如何在SpringSecurity配置角色和权限的关系?

引用来自“流浪的木马”的评论

你好,我已经更新了文章,回答你的问题在onfigure(HttpSecurity http)中注释的那部分

引用来自“yuni2015”的评论

意思是说,SpringSecurity中,角色和权限是一样的吗?
我也没用过,暂时帮不了
流浪的木马
流浪的木马 博主

引用来自“yuni2015”的评论

想问一下楼主,SpringSecurity中,角色和权限是怎么区分的?一般来说一个角色对应一个或多个权限的,一个权限和可以属于多个角色的,也就是说,如何在SpringSecurity配置角色和权限的关系?

引用来自“流浪的木马”的评论

你好,我已经更新了文章,回答你的问题在onfigure(HttpSecurity http)中注释的那部分

引用来自“yuni2015”的评论

意思是说,SpringSecurity中,角色和权限是一样的吗?
是的
Spring狂人
Spring狂人

引用来自“yuni2015”的评论

想问一下楼主,SpringSecurity中,角色和权限是怎么区分的?一般来说一个角色对应一个或多个权限的,一个权限和可以属于多个角色的,也就是说,如何在SpringSecurity配置角色和权限的关系?

引用来自“流浪的木马”的评论

你好,我已经更新了文章,回答你的问题在onfigure(HttpSecurity http)中注释的那部分
意思是说,SpringSecurity中,角色和权限是一样的吗?
西夏一品堂
西夏一品堂

引用来自“西夏一品堂”的评论

http.authorizeRequests().antMatchers("/user/**").hasRole("ADMIN").withObjectPostProcessor(objectPostProcessor)
请问,withObjectPostProcessor方法是干啥的,它的参数 org.springframework.security.config.annotation.ObjectPostProcessor<T> 又是干啥的?

引用来自“流浪的木马”的评论

我查到的:
Spring Security的Java配置没有公开每个配置对象的每一个属性,这简化了广大用户的配置。毕竟如果要配置每一个属性,用户可以使用标准的Bean配置。虽然有一些很好的理由不直接暴露所有属性,用户可能任然需要更多高级配置,为了解决这个Spring Security引入了 ObjectPostProcessor 概念,用来修改或替换Java配置的对象实例。例如:如果你想在FilterSecurityInterceptor里配置filterSecurityPublishAuthorizationSuccess属性,你可以像下面一样:
.withObjectPostProcessor(new ObjectPostProcessor() {
public O postProcess(
O fsi) {
fsi.setPublishAuthorizationSuccess(true);
return fsi;
}
})
还是没有看懂withObjectPostProcessor是干啥的,能举个例子吗?
HideHai
HideHai

引用来自“yuni2015”的评论

想问一下楼主,SpringSecurity中,角色和权限是怎么区分的?一般来说一个角色对应一个或多个权限的,一个权限和可以属于多个角色的,也就是说,如何在SpringSecurity配置角色和权限的关系?

引用来自“贾珣”的评论

同问。Spring Security里是一个基于角色的访问控制,没有看到权限控制的部分。另,“基于角色的访问控制”里权限怎么设计呢?配合Spring MVC的情况,又是如何设计呢?每一个URL写一条记录到数据库表吗?
这个问题,在SS下是可以控制的,在博主代码的SecurtityUserDetailService 类中,可以对当前角色的权限和资源做出自定义。这样就和SS框架的机制结合起来了。

自定义的方式,可以是从数据库中去获取也可以是由配置来处理。😃
流浪的木马
流浪的木马 博主

引用来自“西夏一品堂”的评论

http.authorizeRequests().antMatchers("/user/**").hasRole("ADMIN").withObjectPostProcessor(objectPostProcessor)
请问,withObjectPostProcessor方法是干啥的,它的参数 org.springframework.security.config.annotation.ObjectPostProcessor<T> 又是干啥的?
我查到的:
Spring Security的Java配置没有公开每个配置对象的每一个属性,这简化了广大用户的配置。毕竟如果要配置每一个属性,用户可以使用标准的Bean配置。虽然有一些很好的理由不直接暴露所有属性,用户可能任然需要更多高级配置,为了解决这个Spring Security引入了 ObjectPostProcessor 概念,用来修改或替换Java配置的对象实例。例如:如果你想在FilterSecurityInterceptor里配置filterSecurityPublishAuthorizationSuccess属性,你可以像下面一样:
.withObjectPostProcessor(new ObjectPostProcessor() {
public O postProcess(
O fsi) {
fsi.setPublishAuthorizationSuccess(true);
return fsi;
}
})
流浪的木马
流浪的木马 博主

引用来自“yuni2015”的评论

想问一下楼主,SpringSecurity中,角色和权限是怎么区分的?一般来说一个角色对应一个或多个权限的,一个权限和可以属于多个角色的,也就是说,如何在SpringSecurity配置角色和权限的关系?
复制粘贴..样式变了😄
Spring Security权限框架理论与实战演练

本章首先让大家学习到Spring Security权限框架的架构,之后大家可以学习到Spring Security权限框架的核心概念,包括拦截器、数据库管理、缓存、自定义决策等等,之后会手把手带大家基于Sprin...

芥末无疆sss
2018/10/18
0
0
SpringBoot+mybatis+springsecurity实现用户角色数据库管理

SpringSecurity是专门针对基于Spring项目的安全框架,充分利用了依赖注入和AOP来实现安全管控。在很多大型企业级系统中权限是最核心的部分,一个系统的好与坏全都在于权限管控是否灵活,是否...

ben4
2017/11/24
0
0
Shiro还是SpringSecurity

安全框架大家都用的什么,Shiro还是SpringSecurity,看了下Shiro稍微有点简陋,比如没有csrf,而SpringSecurity又有点太重,不知道怎么选择了,我是搭配SpringBoot、Freemaker用的,请大神指...

刘家大大明21
2016/08/16
2.8K
4
SpringBoot简单配置SpringSecurity

以前工作用的登陆服务也不接SpringSecurity,所以这里写篇博客记录一下。使用SpringBoot接入SpringSecurity,我们先加入一些简单的依赖: 其中用的springBoot的版本是: 然后我们写一个Sprin...

woshixin
10/07
43
0
使用Spring Security开发基于表单的认证(一)

使用Spring Security开发基于表单的认证(一) SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 使用springsecurity的默认安全机制: 访问接口时,会弹...

JS_HCX
2018/04/29
0
0

没有更多内容

加载失败,请刷新页面

加载更多

32位与64位Linux系统下各类型长度对比

64 位的优点:64 位的应用程序可以直接访问 4EB 的内存和文件大小最大达到4 EB(2 的 63 次幂);可以访问大型数据库。本文介绍的是64位下C语言开发程序注意事项。 1. 32 位和 64 位C数据类型...

mskk
16分钟前
4
0
Vue 实现点击空白处隐藏某节点(三种方式:指令、普通、遮罩)

在项目中往往会有这样的需求: 弹出框(或Popover)在 show 后,点击空白处可以将其 hide。 针对此需求,整理了三种实现方式,大家按实际情况选择。 当然,我们做项目肯定会用到 UI 框架,常...

张兴华ZHero
22分钟前
5
0
SpringBoot激活profiles你知道几种方式?

多环境是最常见的配置隔离方式之一,可以根据不同的运行环境提供不同的配置信息来应对不同的业务场景,在SpringBoot内支持了多种配置隔离的方式,可以激活单个或者多个配置文件。 激活Profi...

恒宇少年
24分钟前
6
0
PDF修改文字的方法有哪些?怎么修改PDF文件中的文字

PDF修改文字一直以来都是一个难以解决的问题,很多的办公族在办公的时候会有修改PDF文件中的文字的需要,可是PDF文件一般是不能进行编辑和修改的,难道就没有什么办法解决这个问题了嘛?不要...

趣味办公社
27分钟前
3
0
企业组织中采用服务网格的挑战

作者:Christian Posta 译者:罗广明 原文:https://blog.christianposta.com/challenges-of-adopting-service-mesh-in-enterprise-organizations/ 编者按 本文作者介绍了企业组织采用服务网...

jimmysong
36分钟前
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部