【JavaEE】SSH+Spring Security搭建方法及example

前文为止,SSH的基本框架都已经搭建出来了,现在,在这基础上再加上权限控制,也就是Spring Security框架,和前文的顺序一样,先看看需要加哪些库。

1. pom.xml

Spring Security只需要加上自己的库就可以,先定义一个版本的属性:

<properties>
    <spring.version>4.0.4.RELEASE</spring.version>
    <hibernate.version>4.3.5.Final</hibernate.version>
    <spring-security.version>3.2.4.RELEASE</spring-security.version>
</properties>

然后加入spring-security的包:

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>${spring-security.version}</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>${spring-security.version}</version>
</dependency>

当然还有spring-security-core和spring-security-web等必须的包,不过都会被作为依赖导入。

2. web.xml

Spring Security是作为过滤器控制权限的,所以,要在web.xml中配置这个过滤器:

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

其他的东西,就是被Spring框架来管理了,Spring Security配置的地方和hibernate的配置一样,可以加在applicationContext.xml中,但是hibernate要单独弄一个infrastructure.xml,Security也单独写一个配置文件,叫做applicationContext-security.xml,因为这个的名字和前面的非常像,可以合并在一起来配置contextConfigLocation:

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath*:/META-INF/applicationContext*.xml,
                classpath:/META-INF/infrastructure.xml</param-value>
</context-param>

classpath后面的*代表有多个文件,后面的*是一个通配符,所以凡是/META-INF/下所有applicationContext开头的xml文件都会被读取。

3. User.java/Role.java

这里先不说applicationContext-security.xml,先来看看需要哪些数据表,首先创建一个权限类Role(org.zhangfc.demo4ssh.domain.Role):

@Entity@Table
public class Role implements Serializable {
    private static final long serialVersionUID = -7425304725239042741L;
    private int id;
    private String role;
    @Id
    public int getId() {
        return id;
    }
    public void setId(int id) {
        this.id = id;
    }
    public String getRole() {
        return role;
    }
    public void setRole(String role) {
        this.role = role;
    }
}

权限表就两个字段,id和一个权限名,接着修改User表:

@Entity@Table
public class User implements Serializable {
    private static final long serialVersionUID = 172643386440351811L;
    private int id;
    private String username;
    private String password;
    private Role role;

    @Id
    @GeneratedValue
    public int getId() {
        return id;
    }
    @Size(min=6)
    public String getUsername() {
        return username;
    }public String getPassword() {
        return password;
    }
    @ManyToOne
    public Role getRole() {
        return role;
    }

    // setter method of id / username / password / role
}

为了节省篇幅,我删掉了所有的setter方法,这儿增加了两项,一个id,还有一个多对一的外键指向Role表。把properties/hibernate.properties中的hibernate.hbm2dll.auto属性设置为update,并把HomeController的home方法插入新用户的代码注释掉或删掉,首先把这个程序运行起来,让程序创建role表并更新user表,然后编辑数据表(我用的navicat),在role表中加入下面的两条记录:

之后修改user表,之前的数据不会被清空,而是新添加了两个空字段:

这样就有了两个可登陆的账号,下面就来写一下配置文件。

4. applicationContext-security.xml

先贴下所有的配置再做解释

<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
                        http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
                        http://www.springframework.org/schema/security
                        http://www.springframework.org/schema/security/spring-security-3.2.xsd">

    <http auto-config="true">
        <intercept-url pattern="/json**" access="ROLE_ADMIN,ROLE_USER" />
        <intercept-url pattern="/admin**" access="ROLE_ADMIN" />
        <form-login
            login-page="/"
            default-target-url="/"
            authentication-failure-url="/?login=error" />

        <logout logout-success-url="/" />
    </http>

    <authentication-manager>
        <authentication-provider>
            <!-- <password-encoder hash="md5">
                <salt-source user-property="email"/>
            </password-encoder> -->
            <jdbc-user-service data-source-ref="dataSource"
                users-by-username-query="select username, password, 1 from user where username = ?"
                authorities-by-username-query="select u.username, r.role from user u left join role r on u.role_id=r.id where username = ?"
            />
        </authentication-provider>
    </authentication-manager>

</beans:beans>

先看这个authentication-manager,这是一个认证管理器,用户名密码的认证就是它来干的,Spring security有一套默认的规则,个人认为也没太大必要去改这个默认规则,那就是对根目录下/j_spring_security_check的网络请求,会被作为登陆请求,并获取j_username和j_password作为参数进行用户名密码的匹配,这时候spring会把j_username交给一个provider,这个provider的任务就是根据这个用户名返回一个包含用户名、密码、权限(权限可以是数组)的对象。在这个地方,我用了spring security自己的authentication-provider,引用前面在配置hibernate的配置的数据源,并分别执行两条sql语句去根据用户名查询密码、当前用户是否enable及该用户权限。

登录成功之后,所有的网络请求,都会根据当前用户的role去最前面的intercept-url上去匹配(json和admin后面的两个**,第一个代表通配路径,第二个代表通配子目录),如果当前用户的权限是ROLE_USER,但是对应url的access域中没有ROLE_USER或者IS_AUTHENTICATED_ANONYMOUSLY(表示允许匿名访问),那么就不能访问,这时候就会跳转到下面设置的login-page去让用户登录,当然,登录成功之前所有的请求也会经过这个链,所以千万不要把登陆界面设置什么访问权限,要不就死循环了,登录时如果登录成功了会跳转到default-target-url设置的地址,如果登录失败了,则会跳到authentication-failure-url上去,现在我是设置的无论怎么样都跳回根目录。

如果是注销,也有一个默认的规则,就是访问根目录下的j_spring_security_logout就可以了,注销之后页面会跳转到logout-success-url。

5. index.jsp

我们访问根目录会访问HomeController的home方法,之后进入index.jsp上,所以这里就编辑pages/index.jsp(pages是WEB-INF的同级目录),加上登录用的表单:

<%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags"%>

<c:set var="base" value="${pageContext.request.contextPath }/" scope="session"/>
<sec:authentication property="principal" var="auth" scope="session" />

<html>
<body>
<h2>Hello World!</h2>
<h2>${auth }</h2>
<form action="${base }j_spring_security_check" method="post">
    用户名:<input type="text" name="j_username" /><br/>
    密码:<input type="password" name="j_password" /><br/>
    <input type="submit" value="登录" />
</form>
<a href="${base }j_spring_security_logout">注销</a>
</body>
</html>

运行程序,访问项目根目录:

我在index.jsp中使用security的标签获得了一个叫做principal的对象,这个对象在未登录的时候是一个字符串,我把它打印了出来,可以看到值是"anonymousUser"。登录的时候是一个用户对象(不是我们自己定义的那个domain.User,而是spring的一个UserDetails对象),这个一会登录之后再看。

用zhangsan/123456登录,点登录之后看到,原来打印anonymousUser的地方变成了一个对象的描述:

[email protected]: Username: zhangsan; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN

这时候如果把index.jsp里的${auth}改成${auth.username}就可以打印出zhangsan。接下来访问:http://localhost:8080/demo4ssh-security/json和http://localhost:8080/demo4ssh-security/admin都是可以正确访问的,因为zhangsan是个ROLE_ADMIN,这两个目录都有访问权限,但是,根据前面的配置ROLE_USER是不能访问admin的,下面再次进入根目录,点注销之后用wangwu/234567登录(注销之后如果是打印${auth.username}就会抛异常,因为auth这个对象没有username这个域了),登录之后发现http://localhost:8080/demo4ssh-security/json依旧可以正常访问,http://localhost:8080/demo4ssh-security/admin却不能访问了:

Spring Security的基本配置就是这样了,相比较前面的几个而言,Spring Security这么基础的配置基本没什么大用,现在谁还能用明文存密码,用加盐的方式MD5加密是好配置的(我写的是用email作为盐,但是出于简单考虑,我这个demo的user表里没有没有email,所以需要用MD5的时候注意一下),applicationContext-security.xml中有一段被我注释掉的配置就是干这个的,但是,更多的密码存储要比这个还要复杂,而且,没有访问权限也不能返回这么个界面,还是那句话,我现在只想用最简单的方式搭出一个能用的框架,至于这些细节,只要基本框架能跑了就是小意思了,这些问题还是留待以后再写。

源码下载

时间: 2024-09-30 09:26:23

【JavaEE】SSH+Spring Security搭建方法及example的相关文章

【JavaEE】SSH+Spring Security基础上配置AOP+log4j

Spring Oauth2大多数情况下还是用不到的,主要使用的还是Spring+SpringMVC+Hibernate,有时候加上SpringSecurity,因此,本文及以后的文章的example中都不会包含oauth2的配置,需要的话把前文的applicationContext-security.xml和pom.xml加上就可以了,本文在“SSH+Spring Security搭建方法及example”一文的基础上做一些调整,主要内容是:配置Spring AOP并且用log4j来记录日志.

【JavaEE】Springmvc+Spring+Hibernate搭建方法及example

前面两篇文章,分别介绍了Springmvc和Spring的搭建方法,本文再搭建hibernate,并建立SSH最基本的代码结构. Hibernate和前面两个比就比较复杂了,Hibernate是一个orm的框架,也就是负责面向对象中的对象(Object)和关系型数据库这个关系(Relation)之间的映射(Mapping).因为关系型数据库的思维方式,和编程的时候对于对象的理解是有偏差的,所以也有一些面向对象的数据库,但是随着这些orm框架的完善,面向对象的数据库就销声匿迹了. 当然,我这篇文章

Springmvc+Spring+Hibernate搭建方法及实例

Springmvc+Spring+Hibernate搭建方法及实例

【JavaEE】SSH+Spring Security+Spring oauth2环境方法及example

原文  http://www.cnblogs.com/smarterplanet/p/4088479.html 现在加最后一样,就是oauth2,现在很多网站都有对应的移动版本,那么移动端访问服务端的服务怎么控制权限,我知道的主要是两种方法,第一是模拟浏览器,访问服务的时候会生成session,之后在移动端缓存cookie,每次网络请求都把cookie加上,还有一种就是通过oauth2,登录之后生成一个凭证,每次请求时携带凭证,当然oauth2更多的是为第三方应用提供访问自己服务的权限. oau

Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全(带源码)

[相关已翻译的本系列其他文章,点击分类里面的spring security 4] 上一篇:Spring Security 4 整合Hibernate 实现持久化登录验证(带源码) 原文地址:http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-postauthorize-secured-el/ 本文探讨Spring Security 4 基于@PreAuthorize

Spring Security(17)——基于方法的权限控制

目录 1.1     intercept-methods定义方法权限控制 1.2     使用pointcut定义方法权限控制 1.3     使用注解定义方法权限控制 1.3.1    JSR-250注解 1.3.2    @Secured注解 1.3.3    支持表达式的注解 1.4     方法权限控制的拦截器 1.4.1    MethodSecurityInterceptor 1.4.2    AspectJMethodSecurityInterceptor 之前介绍的都是基于URL

spring security+mybatis+springMVC构建一个简单的项目

1.引用 spring security ,这是一种基于spring AOP和Servlet的过滤安全框架.它提供全面的安全性解决方案,同时在web请求级和方法的调用级处理身份确认和授权.在spring framework基础上,spring security充分利用了依赖注入(DI,Dependency Injection)和AOP技术. 下面就让我们用一个小的晓得项目来出初步了解Spring Security 的强大功能吧. 2.项目实战    1)项目的技术架构:maven+spring

Spring Security 入门详解

序:本文主要参考 spring实战 对里面的知识做一个梳理 1.Spring Security介绍 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术. Spring security主要是从两个方面解决安全性问题: web请求级别:使用servlet过滤器保护web请求并限制URL级别的访问 方法调用级别:使用Spring AOP保护

Angular集成Spring Boot,Spring Security,JWT和CORS

本文介绍了Spring Boot的基本配置,Angular集成Spring Boot.Spring Security的方法.当前流行的JWT更适合与Angular集成,优于Spring Secuity提供的CSRF.另外引入了springfox-swagger和spring-boot-starter-actuator,演示了如何利用Swagger生成JSON API文档,如何利用Actuator监控应用. 本文前端基于Angular官方样例Tour of Heroes,请先到官网下载. 技术堆栈