黑马程序员技术交流社区

标题: spring security [打印本页]

作者: NEXT_    时间: 2019-8-14 15:26
标题: spring security

安全框架Spring Security

2.1 Spring Security简介

2.1.1 安全框架概述

        什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。

2.1.2 常用安全框架

        Spring Security:spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

        Apache Shiro 是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。        

        我们课程中采用Spring Security。

2.1.3 认证与授权

认证:限制用户只能登陆才可以访问资源。

授权:限制用户必须有某资源的访问权限才可以访问。

2.2 快速入门

2.2.1 最简单案例

需求:实现简单的登陆,当用户没有登陆访问主页执行拦截跳转到登陆,登陆后跳转到主页。实现退出登陆的功能,退出后再次访问主页仍然拦截。用户名和密码不连接数据库,直接在配置文件中配置。

(1)新建war工程,pom文件引入依赖

        <packaging>war</packaging>
        <properties>
            <spring.version>5.0.5.RELEASE</spring.version>
        </properties>
        <dependencies>
            <dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-web</artifactId>
                <version>${spring.version}</version>
            </dependency>
            <dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-config</artifactId>
                <version>${spring.version}</version>
            </dependency>
            <dependency>
                <groupId>javax.servlet</groupId>
                <artifactId>servlet-api</artifactId>
                <version>2.5</version>
                <scope>provided</scope>
            </dependency>
        </dependencies>
        <build>
            <plugins>
                <plugin>
                    <groupId>org.apache.tomcat.maven</groupId>
                    <artifactId>tomcat7-maven-plugin</artifactId>
                    <configuration>
                        <!-- 指定端口 -->
                        <port>9090</port>
                        <!-- 请求路径 -->
                        <path>/</path>
                    </configuration>
                </plugin>
            </plugins>
        </build>

(2)创建webapp/WEB-INF/web.xml

    <?xml version="1.0" encoding="UTF-8"?>
    <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            xmlns="http://java.sun.com/xml/ns/javaee"
            xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
            version="2.5">
               <context-param>
                    <param-name>contextConfigLocation</param-name>
                    <param-value>classpath:spring-security.xml</param-value>
             </context-param>
             <listener>
                    <listener-class>
                            org.springframework.web.context.ContextLoaderListener
                    </listener-class>
             </listener>        
             <filter>  
                    <filter-name>springSecurityFilterChain</filter-name>  
                    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
             </filter>  
             <filter-mapping>  
                    <filter-name>springSecurityFilterChain</filter-name>  
                    <url-pattern>/*</url-pattern>  
             </filter-mapping>        
    </web-app>

(3)resources下创建spring-security.xml

    <?xml version="1.0" encoding="UTF-8"?>
    <beans:beans xmlns="http://www.springframework.org/schema/security"
            xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                                                    http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
            <!-- 页面拦截规则 -->
            <http>
                    <intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" />
                    <form-login/>
                  <logout/>
            </http>
            <!-- 认证管理器 -->
            <authentication-manager>
                    <authentication-provider>
                            <user-service>
                                    <user name="admin" password="{noop}123456" authorities="ROLE_ADMIN"/>
                            </user-service>
                    </authentication-provider>
            </authentication-manager>
    </beans:beans>

{noop}是制定密码加密策略为不加密 。noop的意思是明文保存的密码 (noop: No Operation)

(4)webapp下创建index.html,内容随意。




欢迎光临 黑马程序员技术交流社区 (http://bbs.itheima.com/) 黑马程序员IT技术论坛 X3.2