Spring Security学习——入门例子
2018-01-29 19:14
281 查看
Spring Security学习——入门例子
Spring Security的maven依赖如下<!-- Spring dependencies --> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-core</artifactId> <version>${spring.version}</version> </dependency> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-web</artifactId> <version>${spring.version}</version> </dependency> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId> <version>${spring.version}</version> </dependency> <!-- Spring Security --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>${spring.security.version}</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>${spring.security.version}</version> </dependency> <!-- jstl for jsp page --> <dependency> 4000 <groupId>jstl</groupId> <artifactId>jstl</artifactId> <version>${jstl.version}</version> </dependency> </dependencies>
Spring Security由于是基于J2EE过滤器,因此需要在web.xml中进行相应的配置
<web-app id="WebApp_ID" version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"> <display-name>Archetype Created Web Application</display-name> <!-- Spring MVC --> <servlet> <servlet-name>mvc-dispatcher</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet </servlet-class> <load-on-startup>1</load-on-startup> </servlet> <servlet-mapping> <servlet-name>mvc-dispatcher</servlet-name> <url-pattern>/</url-pattern> </servlet-mapping> <listener> <listener-class>org.springframework.web.context.ContextLoaderListener </listener-class> </listener> <!-- Loads Spring Security config file --> <context-param> <param-name>contextConfigLocation</param-name> <param-value> /WEB-INF/spring-security.xml </param-value> </context-param> <!-- Spring Security --> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy </filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> </web-app>
要想Spring Security整合入项目,在web.xml中配置一个filter,和配置的filter配置没有什么不同,filter的类使用的是Spring Security框架实现的org.springframework.web.filter.DelegaingFilterProxy,拦截请求的正则表达式是/*,表示可以拦截所有的请求,能对所有的请求路径进行权限判断。并且还在context-param中配置了Spring Security的配置文件的路径,这样配置可以在Sprihng
Security实现的Filter中通过这个路径找到Sprng Security的配置并读取之,然后初始化Spring Security框架所需的所有对象的相关数据。上面还配置了Spring MVC框架,这和其他的Spring MVC项目没什么区别,都是通过一个Servlet来实现,对Servlet的请求会根据Spring MVC的相关mapper映射转发到相应的Controller。Spring Security的配置文件如下
<beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.2.xsd"> <http auto-config="true"> <intercept-url pattern="/admin**" access="ROLE_USER" /> <form-login login-page="/login" default-target-url="/index" authentication-failure-url="/login?error" username-parameter="username" password-parameter="password" /> <logout logout-success-url="/login?logout" /> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="xiaobing" password="123456" authorities="ROLE_USER" /> </user-service> </authentication-provider> </authentication-manager> </beans:beans>上面的配置表示Spring Security会拦截所有以admin开头的url请求,并作为USER角色,验证权限的输入信息在login.jsp页面,也验就是说如果还没有验证过,访问被拦截时会请求转发到login.jsp进行信息的输入。验证失败会转发至login?error请求,权限验证时的用户名字段的字段名是username,密码字段的字段名是password,也就是前面所说的login.jsp页面中的用户名输入框的name为username,而密码输入框的name为password。这样在输入提交后,角色的登录信息就可以传入后台,Spring Security框架内部会用一个处理器来处理,并且会对信息正误进行判定。如果验证正确了就会对相应权限进行判定。
logout标签中的配置表示登出成功后请求转发给哪个请求。在后面的Spring MVC控制器中将会配置这些请求并做相应的处理。
下面的authentication-manager里配置的是角色信息,这里是采用xml配置的,也就是Spring Security的用户只有一个,用户名为xiaobing,密码为123456,用户角色是USER,只有当在页面中输入这个用户名和密码时才能验证成功。
然后是Spring MVC的控制器
package security.controller; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestMethod; import org.springframework.web.bind.annotation.RequestParam; import org.springframework.web.servlet.ModelAndView; @Controller public class HelloController { @RequestMapping(value = "", method = { RequestMethod.GET }) public ModelAndView welcomePage() { ModelAndView model = new ModelAndView(); model.addObject("title", "Spring Security Study"); model.addObject("message", "welcome!!"); model.setViewName("hello"); return model; } @RequestMapping(value = "/admin**", method = RequestMethod.GET) public ModelAndView adminPage() { ModelAndView model = new ModelAndView(); model.addObject("title", "Spring Security Hello World"); model.addObject("message", "This is protected page!"); model.setViewName("admin"); return model; } @RequestMapping(value = "/login", method = RequestMethod.GET) public ModelAndView login(@RequestParam(value = "error", required = false) String error, @RequestParam(value = "logout", required = false) String logout) { ModelAndView model = new ModelAndView(); if (error != null) { model.addObject("error", "Invalid username and password!"); } if (logout != null) { model.addObject("msg", "You've been logged out successfully."); } model.setViewName("login"); return model; } }在这个控制器中主要看adminPage和login两个方法,在adminPage方法中,配置了RequestMapper的映射路径是/admin**,当访问admin**路径时,本应该会由adminPage方法来处理请求,但由于Spring Security会拦截admin**为开头的所有请求,所以会进行相应的权限验证。
然后是login这个方法,映射的路径是login,也就是在Spring Security的配置文件中配置的,根据login方法中的逻辑,如果error参数不为空的话就表示验证失败了,就把error信息添加到视图模型对象中,如果是logout不能空的话,就表示退出登录成功,就将登出成功的信息添加到视图模型对象中。最后是请求转向login.jsp页面。在login.jsp页面中就会将相应的信息展示出来。
<%@ page language="java" contentType="text/html; charset=ISO-8859-1" pageEncoding="ISO-8859-1"%> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"> <title>Insert title here</title> <style> .error { padding: 15px; margin-bottom: 20px; border: 1px solid transparent; border-radius: 4px; color: #a94442; background-color: #f2dede; border-color: #ebccd1; } .msg { padding: 15px; margin-bottom: 20px; border: 1px solid transparent; border-radius: 4px; color: #31708f; background-color: #d9edf7; border-color: #bce8f1; } #login-box { width: 300px; padding: 20px; margin: 100px auto; background: #fff; -webkit-border-radius: 2px; -moz-border-radius: 2px; border: 1px solid #000; } </style> </head> <body onload='document.loginForm.username.focus();'> <h1>Spring Security Custom Login Form (XML)</h1> <div id="login-box"> <h2>Login with Username and Password</h2> <c:if test="${not empty error}"> <div class="error">${error}</div> </c:if> <c:if test="${not empty msg}"> <div class="msg">${msg}</div> </c:if> <form name='loginForm' action="<c:url value='j_spring_security_check' />" method='POST'> <table> <tr> <td>User:</td> <td><input type='text' name='username' value=''></td> </tr> <tr> <td>Password:</td> <td><input type='password' name='password' /></td> </tr> <tr> <td colspan='2'><input name="submit" type="submit" value="submit" /></td> </tr> </table> <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> </form> </div> </body> </html>在adminPage的控制器方法中,如果验证成功后,会真正访问到这个方法,执行其中的代码,adminPage中的逻辑是将title和message字段添加到视图模型中,返回请求转向admin.jsp页面,admin.jsp页面如下
<%@ page language="java" contentType="text/html; charset=ISO-8859-1"%> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%> <%@page session="true"%> <html> <body> <h1>Title : ${title}</h1> <h1>Message : ${message}</h1> <c:url value="/j_spring_security_logout" var="logoutUrl" /> <!-- csrt for log out--> <form action="${logoutUrl}" method="post" id="logoutForm"> <input type="" name="${_csrf.parameterName}" value="${_csrf.token}" /> </form> <script> function formSubmit() { document.getElementById("logoutForm").submit(); } </script> <c:if test="${pageContext.request.userPrincipal.name != null}"> <h2> Welcome : ${pageContext.request.userPrincipal.name} | <a href="javascript:formSubmit()"> Logout</a> </h2> </c:if> </body> </html>在这个页面中,输入了前面的title和message字段的值,并且还能拿到Spring Security验证是输入的用户名。下面通过一个form提交登出请求,登出时,Spring Security框架会将此token的用户的信息从Spring Security的上下文缓存中清除,这样就实现了权限的验证以为权限验证的退出。退出成功后再次请求时又会被拦截并验证。
当请求admin的时候就会自动跳转到http://localhost:8080/spring/login页面
当输错误时会提示
验证成功后就把请求传递到adminPage方法中进行处理,请求转发到admin.jsp页面
当点击Logout链接后,登出请求就经过Sprng Security框架处理后,再经由login方法中处理,转到login.jsp页面,并提示登出成功的信息
相关文章推荐
- Spring Security 入门(1-2)Spring Security - 从 配置例子例子 开始我们的学习历程
- java事务学习笔记(八)--分布式事务入门例子(Spring+JTA+Atomikos+Hibernate+JMS)
- 挑战30天C++入门极限-c/c++中指针学习的两个绝好例子
- libevent代码阅读(3)——入门例子“hello-world.c”的学习
- 最适合入门学习的三层架构例子(实现登录)
- 通过例子学习Lua(5) ---- Lua与C交互入门
- ActiveMQ入门学习小例子
- Shiro学习总结(二)--Shiro的入门小例子
- Android中关于JNI 的学习(零)简单的例子,简单地入门
- 通过Redux源码学习基础概念一:简单例子入门
- spring security学习- 一个实际的例子
- Nutz学习---连接操作数据库入门例子
- spring security 3.X 入门例子
- SAP ABAP/4学习--学习使用OO在ABAP中.简单入门概念.用个例子来说明
- Selenium学习(二)入门小例子
- iPhone入门学习——半翻页动画效果例子
- PHP入门学习实例代码,代码例子–PHP连接mysql数据库
- Nutz学习---连接操作数据库入门例子
- schema 入门学习2 (一些简单的例子)
- 分享下我学习Thrift的入门例子helloworld,客户端用php,服务端用python: