Spring Security学习——入门例子
2018-01-29 19:14
281 查看
Spring Security学习——入门例子
Spring Security的maven依赖如下<!-- Spring dependencies -->
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-core</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>${spring.version}</version>
</dependency>
<!-- Spring Security -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>
<!-- jstl for jsp page -->
<dependency>
4000
<groupId>jstl</groupId>
<artifactId>jstl</artifactId>
<version>${jstl.version}</version>
</dependency>
</dependencies>Spring Security由于是基于J2EE过滤器,因此需要在web.xml中进行相应的配置
<web-app id="WebApp_ID" version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"> <display-name>Archetype Created Web Application</display-name> <!-- Spring MVC --> <servlet> <servlet-name>mvc-dispatcher</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet </servlet-class> <load-on-startup>1</load-on-startup> </servlet> <servlet-mapping> <servlet-name>mvc-dispatcher</servlet-name> <url-pattern>/</url-pattern> </servlet-mapping> <listener> <listener-class>org.springframework.web.context.ContextLoaderListener </listener-class> </listener> <!-- Loads Spring Security config file --> <context-param> <param-name>contextConfigLocation</param-name> <param-value> /WEB-INF/spring-security.xml </param-value> </context-param> <!-- Spring Security --> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy </filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> </web-app>
要想Spring Security整合入项目,在web.xml中配置一个filter,和配置的filter配置没有什么不同,filter的类使用的是Spring Security框架实现的org.springframework.web.filter.DelegaingFilterProxy,拦截请求的正则表达式是/*,表示可以拦截所有的请求,能对所有的请求路径进行权限判断。并且还在context-param中配置了Spring Security的配置文件的路径,这样配置可以在Sprihng
Security实现的Filter中通过这个路径找到Sprng Security的配置并读取之,然后初始化Spring Security框架所需的所有对象的相关数据。上面还配置了Spring MVC框架,这和其他的Spring MVC项目没什么区别,都是通过一个Servlet来实现,对Servlet的请求会根据Spring MVC的相关mapper映射转发到相应的Controller。Spring Security的配置文件如下
<beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.2.xsd"> <http auto-config="true"> <intercept-url pattern="/admin**" access="ROLE_USER" /> <form-login login-page="/login" default-target-url="/index" authentication-failure-url="/login?error" username-parameter="username" password-parameter="password" /> <logout logout-success-url="/login?logout" /> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="xiaobing" password="123456" authorities="ROLE_USER" /> </user-service> </authentication-provider> </authentication-manager> </beans:beans>上面的配置表示Spring Security会拦截所有以admin开头的url请求,并作为USER角色,验证权限的输入信息在login.jsp页面,也验就是说如果还没有验证过,访问被拦截时会请求转发到login.jsp进行信息的输入。验证失败会转发至login?error请求,权限验证时的用户名字段的字段名是username,密码字段的字段名是password,也就是前面所说的login.jsp页面中的用户名输入框的name为username,而密码输入框的name为password。这样在输入提交后,角色的登录信息就可以传入后台,Spring Security框架内部会用一个处理器来处理,并且会对信息正误进行判定。如果验证正确了就会对相应权限进行判定。
logout标签中的配置表示登出成功后请求转发给哪个请求。在后面的Spring MVC控制器中将会配置这些请求并做相应的处理。
下面的authentication-manager里配置的是角色信息,这里是采用xml配置的,也就是Spring Security的用户只有一个,用户名为xiaobing,密码为123456,用户角色是USER,只有当在页面中输入这个用户名和密码时才能验证成功。
然后是Spring MVC的控制器
package security.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.servlet.ModelAndView;
@Controller
public class HelloController {
@RequestMapping(value = "", method = { RequestMethod.GET })
public ModelAndView welcomePage() {
ModelAndView model = new ModelAndView();
model.addObject("title", "Spring Security Study");
model.addObject("message", "welcome!!");
model.setViewName("hello");
return model;
}
@RequestMapping(value = "/admin**", method = RequestMethod.GET)
public ModelAndView adminPage() {
ModelAndView model = new ModelAndView();
model.addObject("title", "Spring Security Hello World");
model.addObject("message", "This is protected page!");
model.setViewName("admin");
return model;
}
@RequestMapping(value = "/login", method = RequestMethod.GET)
public ModelAndView login(@RequestParam(value = "error", required = false) String error,
@RequestParam(value = "logout", required = false) String logout) {
ModelAndView model = new ModelAndView();
if (error != null) {
model.addObject("error", "Invalid username and password!");
}
if (logout != null) {
model.addObject("msg", "You've been logged out successfully.");
}
model.setViewName("login");
return model;
}
} 在这个控制器中主要看adminPage和login两个方法,在adminPage方法中,配置了RequestMapper的映射路径是/admin**,当访问admin**路径时,本应该会由adminPage方法来处理请求,但由于Spring Security会拦截admin**为开头的所有请求,所以会进行相应的权限验证。然后是login这个方法,映射的路径是login,也就是在Spring Security的配置文件中配置的,根据login方法中的逻辑,如果error参数不为空的话就表示验证失败了,就把error信息添加到视图模型对象中,如果是logout不能空的话,就表示退出登录成功,就将登出成功的信息添加到视图模型对象中。最后是请求转向login.jsp页面。在login.jsp页面中就会将相应的信息展示出来。
<%@ page language="java" contentType="text/html; charset=ISO-8859-1"
pageEncoding="ISO-8859-1"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>Insert title here</title>
<style>
.error {
padding: 15px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
color: #a94442;
background-color: #f2dede;
border-color: #ebccd1;
}
.msg {
padding: 15px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
color: #31708f;
background-color: #d9edf7;
border-color: #bce8f1;
}
#login-box {
width: 300px;
padding: 20px;
margin: 100px auto;
background: #fff;
-webkit-border-radius: 2px;
-moz-border-radius: 2px;
border: 1px solid #000;
}
</style>
</head>
<body onload='document.loginForm.username.focus();'>
<h1>Spring Security Custom Login Form (XML)</h1>
<div id="login-box">
<h2>Login with Username and Password</h2>
<c:if test="${not empty error}">
<div class="error">${error}</div>
</c:if>
<c:if test="${not empty msg}">
<div class="msg">${msg}</div>
</c:if>
<form name='loginForm'
action="<c:url value='j_spring_security_check' />" method='POST'>
<table>
<tr>
<td>User:</td>
<td><input type='text' name='username' value=''></td>
</tr>
<tr>
<td>Password:</td>
<td><input type='password' name='password' /></td>
</tr>
<tr>
<td colspan='2'><input name="submit" type="submit"
value="submit" /></td>
</tr>
</table>
<input type="hidden" name="${_csrf.parameterName}"
value="${_csrf.token}" />
</form>
</div>
</body>
</html> 在adminPage的控制器方法中,如果验证成功后,会真正访问到这个方法,执行其中的代码,adminPage中的逻辑是将title和message字段添加到视图模型中,返回请求转向admin.jsp页面,admin.jsp页面如下<%@ page language="java" contentType="text/html; charset=ISO-8859-1"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@page session="true"%>
<html>
<body>
<h1>Title : ${title}</h1>
<h1>Message : ${message}</h1>
<c:url value="/j_spring_security_logout" var="logoutUrl" />
<!-- csrt for log out-->
<form action="${logoutUrl}" method="post" id="logoutForm">
<input type="" name="${_csrf.parameterName}"
value="${_csrf.token}" />
</form>
<script>
function formSubmit() {
document.getElementById("logoutForm").submit();
}
</script>
<c:if test="${pageContext.request.userPrincipal.name != null}">
<h2>
Welcome : ${pageContext.request.userPrincipal.name} | <a
href="javascript:formSubmit()"> Logout</a>
</h2>
</c:if>
</body>
</html>在这个页面中,输入了前面的title和message字段的值,并且还能拿到Spring Security验证是输入的用户名。下面通过一个form提交登出请求,登出时,Spring Security框架会将此token的用户的信息从Spring Security的上下文缓存中清除,这样就实现了权限的验证以为权限验证的退出。退出成功后再次请求时又会被拦截并验证。当请求admin的时候就会自动跳转到http://localhost:8080/spring/login页面
当输错误时会提示
验证成功后就把请求传递到adminPage方法中进行处理,请求转发到admin.jsp页面
当点击Logout链接后,登出请求就经过Sprng Security框架处理后,再经由login方法中处理,转到login.jsp页面,并提示登出成功的信息
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Spring Security 入门(1-2)Spring Security - 从 配置例子例子 开始我们的学习历程
- java事务学习笔记(八)--分布式事务入门例子(Spring+JTA+Atomikos+Hibernate+JMS)
- 挑战30天C++入门极限-c/c++中指针学习的两个绝好例子
- libevent代码阅读(3)——入门例子“hello-world.c”的学习
- 最适合入门学习的三层架构例子(实现登录)
- 通过例子学习Lua(5) ---- Lua与C交互入门
- ActiveMQ入门学习小例子
- Shiro学习总结(二)--Shiro的入门小例子
- Android中关于JNI 的学习(零)简单的例子,简单地入门
- 通过Redux源码学习基础概念一:简单例子入门
- spring security学习- 一个实际的例子
- Nutz学习---连接操作数据库入门例子
- spring security 3.X 入门例子
- SAP ABAP/4学习--学习使用OO在ABAP中.简单入门概念.用个例子来说明
- Selenium学习(二)入门小例子
- iPhone入门学习——半翻页动画效果例子
- PHP入门学习实例代码,代码例子–PHP连接mysql数据库
- Nutz学习---连接操作数据库入门例子
- schema 入门学习2 (一些简单的例子)
- 分享下我学习Thrift的入门例子helloworld,客户端用php,服务端用python: