SpringSecurity的简单应用(一)

java项目首先要提的就是jar包了,Springsecurity的jar下载地址:http://static.springsource.org/spring-security/site/downloads.html。不过我的项目里的jar包比较旧点了,是从以前项目抽取出来的,我的工程结构图如下:

如果是maven项目则可以使用下面的pom.xml:

<dependencies>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>3.8.1</version>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>commons-dbcp</groupId>
            <artifactId>commons-dbcp</artifactId>
            <version>1.4</version>
        </dependency>

        <!-- Log -->
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>

        <!-- Struts2 -->
        <dependency>
            <groupId>org.freemarker</groupId>
            <artifactId>freemarker</artifactId>
            <version>2.3.18</version>
        </dependency>
        <dependency>
            <groupId>org.apache.struts</groupId>
            <artifactId>struts2-core</artifactId>
            <version>2.3.16.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.struts</groupId>
            <artifactId>struts2-spring-plugin</artifactId>
            <version>2.3.16.3</version>
        </dependency>

        <!-- Spring -->
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-core</artifactId>
            <version>3.2.8.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
            <version>3.2.8.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-beans</artifactId>
            <version>3.2.8.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context</artifactId>
            <version>3.2.8.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context-support</artifactId>
            <version>3.2.8.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-expression</artifactId>
            <version>3.2.8.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-jdbc</artifactId>
            <version>3.2.8.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>3.2.4.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>3.2.4.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>3.2.4.RELEASE</version>
        </dependency>

        <!-- Mybatis -->
        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis</artifactId>
            <version>3.0.6</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis-spring</artifactId>
            <version>1.0.2</version>
        </dependency>

        <!-- Database -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.31</version>
        </dependency>
        <dependency>
            <groupId>taglibs</groupId>
            <artifactId>standard</artifactId>
            <version>1.1.2</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>jstl</artifactId>
            <version>1.2</version>
        </dependency>
    </dependencies>

第一个实例:

第一个例子是最基本,最简单的,我第一次接触springsecurity时候觉得这个技术真惊艳,不过现在感觉也就那么回事了。

我首先编写的是web.xml:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
    id="WebApp_ID" version="2.5">
    <display-name>SpringSecurityPrj</display-name>
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
        classpath:applicationContext*.xml
    </param-value>
    </context-param>
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <welcome-file-list>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>
</web-app>

接下来编写的是applicationContext-security.xml文件:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security-3.2.xsd">
    <!-- 自动配置模式,拦截所有请求,有ROLE_USER才可以通过 -->
    <http auto-config="true">
        <intercept-url pattern="/**" access="ROLE_USER"/>
    </http>
    <!-- 认证管理器。用户名密码都集成在配置文件中 -->
    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="sharp" password="sharp" authorities="ROLE_USER"/>
            </user-service>
        </authentication-provider>
    </authentication-manager>
</beans:beans>

另外我新建了一个index.jsp文件,作用是登录成功后返回到index.jsp页面:

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>登录首页</title>
</head>
<body>
<span color="red">登录成功!</span>
</body>
</html>

当我们在浏览器地址栏里输入下面的url:

http://localhost:8080/SpringSecurityPrj/

我们就可以再浏览器里看到用户登录界面:

呵呵,内置的登录页面,挺好玩的。没有使用过springsecurity可能还没发现我在那里配置用户名和密码吧,看下面一段代码,这里就是用户名和密码:

<user name="sharp" password="sharp" authorities="ROLE_USER"/>

测试一:

我们录入用户名:admin;密码:admin,然后点击提交查询,最终页面如下:

登录失败了哦!

测试二:我们录入用户名:sharp;密码:sharp;如下图:

点击提交查询后,页面如下:

页面跳转到index.jsp页面,登录成功了。

哈哈,用这个做登录是不是很easy啊!

在第一个实例基础上我做了第二个实例。

第二个实例:

第一个例子里的登录页面是springsecurity的默认页面,这种死板的页面满足不了千变万化的用户需求,因此这个实例里我将自定义登录界面,这里我们还要加入几个jar包,最新的lib包下的目录如下所示:

新建一个login.jsp页面代码如下:

<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>用户登录</title>
</head>
<body onLoad="document.f.j_username.focus();">
<c:if test="${not empty param.login_error}">
    <font color="red">
        登录失败,请重试.<br/><br/>
        原因:<c:out value="${SPRING_SECURITY_LAST_EXCEPTION.message}"/>
    </font>
</c:if>
<form name="f" action="<c:url value=‘j_spring_security_check‘/>" method="POST">
    <table>
        <tr>
            <td>用户名:</td>
            <td>
                <input type=‘text‘ name=‘j_username‘ value=‘<c:if test="${not empty param.login_error}"><c:out value="${SPRING_SECURITY_LAST_USERNAME}"/></c:if>‘/>
            </td>
        </tr>
        <tr>
            <td>密     码:</td>
            <td><input type=‘password‘ name=‘j_password‘></td>
        </tr>
        <tr>
            <td>
                <input type="checkbox" name="_spring_security_remember_me"></td><td>两周内自动登录
            </td>
        </tr>
        <tr>
            <td colspan=‘2‘ align="center">
                <input name="submit" type="submit">
                <input name="reset" type="reset">
            </td>
        </tr>
    </table>
</form>
</body>
</html>

修改applicationContext-security.xml配置文件:

<?xml version="1.0" encoding="UTF-8"?>

<beans:beans xmlns="http://www.springframework.org/schema/security"

    xmlns:beans="http://www.springframework.org/schema/beans"

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://www.springframework.org/schema/beans

        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

        http://www.springframework.org/schema/security

        http://www.springframework.org/schema/security/spring-security-3.2.xsd">

    <!-- 自动配置模式,拦截所有请求,有ROLE_USER才可以通过 -->

    <http auto-config="true">

        <intercept-url pattern="/login.jsp*"  access="IS_AUTHENTICATED_ANONYMOUSLY" />

        <intercept-url pattern="/**" access="ROLE_USER"/>

        <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?login_error=1"/>

    </http>

    <!-- 认证管理器。用户名密码都集成在配置文件中 -->

    <authentication-manager>

        <authentication-provider>

            <user-service>

                <user name="sharp" password="sharp" authorities="ROLE_USER"/>

            </user-service>

        </authentication-provider>

    </authentication-manager>

    <!-- 指定中文资源 。默认命名空间是security,所以要加前缀beans: -->

     <beans:bean id="messageSource"

        class="org.springframework.context.support.ReloadableResourceBundleMessageSource">

        <beans:property name="basename"  value="classpath:org/springframework/security/messages_zh_CN"/> 

     </beans:bean>

</beans:beans>

我们在浏览器地址栏里输入下面的url,点击回车,界面如下:

测试一:

我们录入用户名:admin;密码:admin,然后点击提交查询,最终页面如下:

登录失败!

测试二:我们录入用户名:sharp;密码:sharp;如下图:

点击提交查询,结果如下:

第三个实例:

只要是接触过权限管理的程序员都知道,一般的权限管理都有角色的概念,但是传统的角色都是在数据库建模,然后用编程的方式来实现的。在springsecurity里面就有角色的概念,用起来也很方便,上面的例子里我们使用了一个角色ROLE_USER,现在我们添加一个角色ROLE_ADMIN,我们修改applicationContext-security.xml配置文件:

<?xml version="1.0" encoding="UTF-8"?>

<beans:beans xmlns="http://www.springframework.org/schema/security"

    xmlns:beans="http://www.springframework.org/schema/beans"

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://www.springframework.org/schema/beans

        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

        http://www.springframework.org/schema/security

        http://www.springframework.org/schema/security/spring-security-3.2.xsd">

    <!-- 自动配置模式,拦截所有请求,有ROLE_USER才可以通过 -->

    <http auto-config="true">

        <intercept-url pattern="/login.jsp*"  access="IS_AUTHENTICATED_ANONYMOUSLY" />

        <!-- 增加 ROLE_ADMIN角色-->

        <intercept-url pattern="/admin.jsp" access="ROLE_ADMIN"/>

        <intercept-url pattern="/**" access="ROLE_USER"/>

        <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?login_error=1"/>

    </http>

    <!-- 认证管理器。用户名密码都集成在配置文件中 -->

    <authentication-manager>

        <authentication-provider>

            <user-service>

                <!-- 添加ROLE_ADMIN角色 -->

                <user name="admin" password="admin" authorities="ROLE_USER,ROLE_ADMIN"/>

                <user name="sharp" password="sharp" authorities="ROLE_USER"/>

            </user-service>

        </authentication-provider>

    </authentication-manager>

    <!-- 指定中文资源 。默认命名空间是security,所以要加前缀beans: -->

     <beans:bean id="messageSource"

        class="org.springframework.context.support.ReloadableResourceBundleMessageSource">

        <beans:property name="basename"  value="classpath:org/springframework/security/messages_zh_CN"/> 

     </beans:bean>

</beans:beans>

另外我新建一个admin.jsp页面:

<%@ page language="java" contentType="text/html; charset=UTF-8"

    pageEncoding="UTF-8"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

<title>Admin 管理界面</title>

</head>

<body>

<p style="color:red">admin.jsp页面</p>

</body>

</html>

修改下index.jsp页面:

<%@ page language="java" contentType="text/html; charset=UTF-8"

    pageEncoding="UTF-8"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

<title>登录首页</title>

</head>

<body>

<span color="red">登录成功!</span>

<br/>

<a href="admin.jsp">admin.jsp</a>

</body>

</html>

测试一:

我们输入的用户名:sharp;密码:sharp,登录成功了,我们进入到了页面index.jsp:

点击admin.jsp链接,结果如下:

sharp用户没有ROLE_ADMIN角色的权限,所以sharp访问不了admin.jsp页面。

测试二:

我们输入的用户名:admin;密码:admin,登录成功了,我们进入到了页面index.jsp(如上图),

然后

点击admin.jsp链接,结果如下:

用户admin是可以访问admin.jsp页面。

好了,今天学习结束了!

总结下:今天都是具体操作,而且这些操作在网上多的不得了,不过我想学springsecurity都得从这一步开始,现在我对springsecurity理解还不深,整篇文章都是如何去编码,而没有一些知识的讲解,我会尽全力一步步深入,做软件最好还是知其所以然,明天看能不能研究原理,下一篇由springsecurity和数据库的结合开始。

时间: 2024-10-11 10:08:49

SpringSecurity的简单应用(一)的相关文章

SpringSecurity的简单使用

导入SpringSecurity坐标 在web.xml中配置过滤器 编写spring-securiy配置文件 编写自定义认证提供者 用户新增时加密密码 配置页面的login和logout 获取登录用户的信息 一.SpringSecurity简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Cont

springSecurity自定义认证配置

上一篇讲了springSecurity的简单入门的小demo,认证用户是在xml中写死的.今天来说一下自定义认证,读取数据库来实现认证.当然,也是非常简单的,因为仅仅是读取数据库,权限是写死的,因为相对简单,没几个角色,就直接写死了. 还有就是加密,使用的是框架自带的   BCryptPasswordEncoder   加密方法.存在数据库的用户密码也是通过这个类加密,然后登陆的时候也是通过这个类验证,需要在xml中配置下就ok. 简单说一下这个加密类.比md5更加的高级. 加密分为  : 可逆

博客路线

博客路线 2018-11-28 暂定 各小节可能也要拆成几篇发布 Spring-boot 基础 spring-boot 集成方式 spring-ioc 实现及原理 spring-aop 实现及原理 Spring-boot 实际应用 spring-boot + mybatis 实现增删改查 spring-boot + JPA 实现增删改查 spring-boot + spring-security 搭建简单的后台登录验证 spring-boot 集成aliyun的多项云服务 spring-boot

SpringSecurity 在MVC 中的简单使用(翻译的,稍加改动)

Spring Security允许开发人员轻松地将安全功能集成到J2EE Web应用程序中,它通过Servlet过滤器实现“用户自定义”安全检查. 在本教程中,我们将向您展示如何在Spring MVC中集成Spring Security 3.0并安全访问.在集成成功后,当我们查看页面的内容时用户需要先输入正确的“用户名”和“密码”. 1.目录结构 项目最终目录如下所示: 2.Spring Security依赖关系 为了正常运行 Spring security , 你需要加入 “spring-se

Java-Springboot-集成spring-security简单示例(Version-springboot-2-1-3-RELEASE

使用Idea的Spring Initializr或者SpringBoot官网下载quickstart 添加依赖 1234 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency> 新建控制器 123456789 import org.springfra

SpringSecurity简单应用(二)

这里我首先对我上一篇博文的第三个实例做一下讲解,下面是applicationContext-security.xml内容如下: <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.

SpringSecurity学习三----------通过Security标签库简单显示视图

描述:本篇博客在上一博客基础上实现利用SpringSecurity标签库控制页面显示权限.代码为完整代码,复制即可使用. 1.项目结构 2.pom.xml 1 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 2 xsi:schemaLocation="http://maven.apache.

SpringSecurity 3.2入门(6)简单介绍默认使用的十一个过滤器

Security提供了20多个filter,每个过滤器都提供特定的功能.这些filter在Spring Security filter过滤器链中的缺省顺序由 org.springframework.security.config.http.SecurityFilters枚举类型定义.通过filter机制,Spring Security实现了安全认 证和授权等安全相关工作.用户通过配置文件,可以插入.替换或去除已知的filter,搭配自己的Spring Security filte过滤器链, 从而

SpringSecurity学习笔记(一):搭建最简单的SpringSecurity应用

学习过程参考自:http://www.mossle.com/docs/auth/html/pt01-quickstart.html 一.搭建Maven项目: 所需引用的jar包如下: pom.xml文件: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://