Spring Security4的配置,以及一些吐槽.(二)

最新推荐文章于 2026-06-21 16:47:27 发布
原创 最新推荐文章于 2026-06-21 16:47:27 发布 · 545 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文详细介绍了 Spring Security 的配置过程,包括如何设置登录、登出、记住我等功能,并展示了如何利用数据库进行用户验证。

浪费了二天去解决生产问题,我滴妈啊.那生产问题代码真是又臭又长,看得人都崩溃了.

在本章完成了登出/记住我/从数据库查询用户权限/获取用户信息.


让我们看一下最新的

<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security.xsd">
	<!-- 相当于WebSecurityConfigurerAdapter中对应的方法. -->
	<!-- 
	不能使用  <http pattern="/login" security="none" /> 这种格式,
	因为这种形式,Spring Security 是不会使用csrf的.
	-->
	
	<!-- anto-config 为true将启用自动注册登录表单,基本身份验证,注销的URL,注销服务 -->
	<!-- protected void configure(HttpSecurity http) 用于配置路径以及全选. -->
	<!-- use-expressions = "true" 是开启access表达式 -->
	<http auto-config="true" use-expressions="true">
		<intercept-url pattern="/login"  access="hasRole('ANONYMOUS')" />
		<!-- 管理员才能进入的界面. -->
		<intercept-url pattern="/admin" access="hasRole('ROLE_ADMIN')"/>
		<!-- 拦截所有的url access 调用一个函数, true为通过,false为拒绝. 这里是要求有ROLE_USER角色 -->
		<intercept-url pattern="/**" access="hasRole('ROLE_MEMBER')" />
		<!-- 
			login-page 登陆界面
			authentication-failure-url 登陆出错返回的地址
			default-target-url 默认跳转的目标位置.
			login-processing-url 默认处理的url,默认是/login
		 -->
		<form-login login-processing-url="/login" login-page="/login" authentication-failure-url="/login?error=1" default-target-url="/index.jsp" />
		<!-- 
			开启记住我功能,存储在cookie中
			使用cookie的name是securityKey
			存活时间是四周.
		 -->
		<remember-me key="securityKey" token-validity-seconds="2419200"/>
		<!-- 
			logout-success-url 登出成功返回到主界面.
			不配置默认返回到login界面.
		 -->
		<logout logout-url="/logout" logout-success-url="/" invalidate-session="true"/>
	</http>
	
	<!-- 相当于 protected void configure(AuthenticationManagerBuilder auth) 主要配置使用什么来进行连接. -->
	<!-- 
		authorities-by-username-query 查询权限的语句
		group-authorities-by-username-query 查询组权限的语句
		users-by-username-query 查询用户的语句
	 -->
	<authentication-manager alias="authenticationManager">
		<authentication-provider>
			<jdbc-user-service data-source-ref="dataSource" 
			 />
		</authentication-provider>
		
	</authentication-manager>

</beans:beans>

这里有一个注意点,因为配置了csrf的配置,所以在logout的时候一定要包含一个隐藏域,具体代码如下 

	<c:url var="logout" value="/logout"></c:url>
	<form action="${logout }" method="POST">
		<input type="hidden" name="${_csrf.parameterName}"
			value="${_csrf.token}" />
		<input name="submit" type="submit" value="登出" />
	</form>


开启记住我功能,需要在登陆的页面上加入一个input,name属性要为remember-me

login,jsp具体代码如下

<div id="login-box">
		<h2>请输入您的用户名与密码</h2>
		<form name='loginForm' action="/springsecurity/login" method='POST'>
			<table>
				<tr>
					<td>用户:</td>
					<td><input type='text' name='username' value=''></td>
				</tr>
				<tr>
					<td>密码:</td>
					<td><input type='password' name='password' /></td>
				</tr>
				<tr>
					<td colspan="2">
						<input id="remember_me" name="remember-me" type="checkbox" />
						<label for="remember-me" class="inline">记住我</label>
					</td>
				</tr>
				<tr>
					<td colspan='2'><input name="submit" type="submit" value="登录" /></td>
				</tr>
				<input type="hidden" 
                 name="${_csrf.parameterName}" value="${_csrf.token}" />
			</table>
		</form>
	</div>

记住我功能默认使用的是cookie,你可以再登陆成功后,查看自己的cookie来查看.


使用数据库来进行登陆验证,可以看到我们在authentication-manager中使用了jdbc-user-service来进行用户的认证.

此外还可以使用ldap来进行,

我这里使用的是默认的数据库权限配置,

默认情况下的三条查询语句为:

			<jdbc-user-service data-source-ref="dataSource" 
			authorities-by-username-query="
				select username, authority 
				from authorities 
				where username = ?"
			group-authorities-by-username-query="
				select g.id, g.group_name, ga.authority 
				from groups g, group_members gm, group_authorities ga 
				where gm.username = ? and g.id = ga.group_id and g.id = gm.group_id"
			users-by-username-query="
				select username,password,enabled 
				from users 
				where username = ?" 
			 />

我们也可以自定,都很简单.只是需要注意 权限一定要以ROLE开头,数据库的列要和查询语句保持一致.即可.


在JSP中获取用户的属性

需要使用到security的tags标签具体如下

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%
	String path = request.getContextPath();
	String basePath = request.getScheme() + "://"
			+ request.getServerName() + ":" + request.getServerPort()
			+ path + "/";
%>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>
<%@ taglib uri="http://www.springframework.org/security/tags" prefix="security"%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<base href="<%=basePath%>">

<title>首页</title>
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="expires" content="0">
<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
<meta http-equiv="description" content="This is my page">


</head>

<body>

	<c:url var="logout" value="/logout"></c:url>
	<form action="${logout }" method="POST">
		<input type="hidden" name="${_csrf.parameterName}"
			value="${_csrf.token}" />
		<input name="submit" type="submit" value="登出" />
	</form>

	<p>假设我是首页</p>
	
	<div>
	
	<security:authorize access="hasRole('ROLE_MEMBER')">
		<security:authentication property="principal.username" var="username"/>   
		用户名: <span>${username }</span>
	</security:authorize>
	</div>
</body>
</html>


Java 获取用户和用户权限,

Object principal = SecurityContextHolder.getContext()
		.getAuthentication().getPrincipal();
if (principal instanceof UserDetails) {
	String username = ((UserDetails) principal).getUsername();
	Iterator it = ((UserDetails) principal).getAuthorities().iterator();
	String authority = "";
	while (it.hasNext()) {
		authority = ((GrantedAuthority) it.next()).getAuthority();
		System.out.println("Authority:" + authority);
	}
}


基础配置说完, 下一节讲如果保护方法.


SpringBoot——Spring Security 框架_spring boot自带的安全框架(1)
m0_54903333的博客
05-17 1427
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
SpringSecurity 遇到的Invalid property ‘principal.getAuthorities()‘ of bean class [org.springframewo问题解决
max12133的博客
04-24 269
将principal.getAuthorities()替换成principal.authorities即可。
SpringSecurity复习
weixin_56766236的博客
07-25 531
##Spring Security 简介 ###认证授权分析 用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图所示:
Spring Security实战之~验证
qqqqqqhhhhhh的博客
03-10 341
2
关于Spring Security 3获取用户信息的问题
热门推荐
GeneralYY0的专栏
01-05 1万+
原文:http://blog.csdn.net/jjk_02027/article/details/6544889 Spring Security 3取不到用户信息的问题 不是惹的祸| 而是你没有真正的掌握spring sercurity3、没有真正的理解 也许你遇到过这样的问题: 1:在Servlet中使用SecurityContextHolder怎
Auth认证模块
wmyzzz
10-28 1087
目录1. Auth模块是什么2. auth模块常用方法模块导入authenticate()方法login(HttpRequest, user)is_authenticated()装饰器login_requierd()check_password(password)set_password(password)logout(request)create_user()create_superuser()3. 扩展默认的auth_user表 1. Auth模块是什么 Auth模块是Django自带的用户认证模块:
Spring Security4配置,以及一些吐槽.()
ck-wizard的学习之路
07-03 2282
我有一本参考书,是>第四版,虽然是一本关于实战的书,但是作者鼓励开发者采用注解的形式去做配置, 我一开始也是觉得很酷,毕竟0配置,对于我们来说是一种挑战,也是一种冲刺吧.但在实际配置中,却有很多的坑需要踩,踩 得你怀疑人生,书上说的东西虽然大多数在3.2以上就得到了实现,但是并不是所有类实际在3.2以上就得到了支持,采用纯 注解的配置简直就是在跟自己过不去,有这个时间,我都可以多看几章书去了
简单几步升级Spring security4.x升级到5.x
YSOLA4的专栏
06-01 1万+
本次升级源自一次安全漏洞提醒:项目用着spring-security4.1, 也是受到了该漏洞的影响. 知道从4.x跳到5.x这种大版本提升肯定会有不少坑, 但是安全问题不可忽视, 虽然是旧项目也要升级,还要得比较急.本着能省则省的心理, 那就先单独升级一下spring-security.从 升级了版本, 重新 maven reimport项目, clean&compile试试. 列举几个版本不兼容的错误(吐槽下IDEA的编译错误提醒没eclipse友好, 一次编译提示一个):居然就一个Md5Pas
Spring Security 学习专栏(
宏哥的博客
09-05 4745
上一篇文章我们到了Spring Security 文档的第四大点 Samples and Guides (Start Here) 这一章的话主要是列举了一下让大家快速入门的Security例子。 Table 4.1. Sample Applications Source Description Guide Hello Spring Security ...
spring security oauth2配置
feng86gang的专栏
09-22 4716
 不吐不快      因为项目需求开始接触OAuth2.0授权协议。断断续续接触了有两周左右的时间。不得不吐槽的,依然是自己的学习习惯问题,总是着急想了解一切,习惯性地钻牛角尖去理解小的细节,而不是从宏观上去掌握,或者说先用起来(少年,一辈子辣么长,你这么着急合适吗?)。好在前人们已经做好了很好的demo,我自己照着抄一抄也就理解了大概如何用,依旧手残党,依旧敲不出好代码。忏悔…  
spring boot security ajax_SpringBoot安全认证Security
weixin_39835158的博客
11-23 140
一、基本环境搭建父pom依赖<parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.0.3.RELEASE</versio...
spring security
weixin_30659829的博客
12-09 86
很想吐槽的一个东西 尝试了spring的authentication,使用org.acegisecurity.userdetails.jdbc.JdbcDaoImpl的authenticationDao 代码如下: 1 package org.hawklithm.acegi; 2 3 import org.acegisecurity.Authentication; 4 i...
深入理解CSRF攻击原理与防御:从DVWA靶场到Spring Security实战
最新发布
chupu2979的博客
06-21 391
跨站请求伪造(CSRF)是一种常见的Web安全威胁,其本质在于攻击者利用用户已登录目标站点的合法身份,在用户不知情的情况下伪造请求执行敏感操作。其攻击原理基于浏览器自动携带Cookie的机制,当用户访问恶意页面时,页面中嵌入的请求会携带用户的会话凭证,从而欺骗服务器执行非授权操作。从技术价值看,理解CSRF有助于构建更安全的Web应用,防止数据篡改、资金盗用等风险。在应用场景上,CSRF攻击常见于社交网络、电商、银行等涉及用户状态变更的系统。本文以DVWA靶场为例,演示了GET型和POST型CSRF攻击的构
maven项目整合spring boot+mybatis+spring security+jwt(一)
ygynmei的博客
09-07 1172
maven项目整合spring boot+mybatis+jwt+spring security 这是我记录的第一篇文章 以前有问题就上百度、谷歌,但很多都是千篇一律的答案,有时看到精彩的文章过后再去找却怎么也找不到了,想着还不如把自己的经验记录下来,便于以后忘了可以查找。不怎么会写,欢迎各位能指正,话不多说,开始吧。。。。 用了多年的eclipse,这次改用idea。。 环境:win7 JDK:...
Spring Security入门教程:利用Spring Security实现安全控制(1)
m0_60707660的博客
04-08 856
大家可以看到我们刚刚控制台生成的密码其实是一个随机的字符串,它是security默认生成的,所以现在我们可以给它配一个默认的用户名和密码。我们可以在配置文件中输入以下的配置给他配置自定义的用户名和密码。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
【OAuth2.0】Spring Security OAuth2.0篇之初识
u010880345的专栏
12-20 2687
不吐不快      因为项目需求开始接触OAuth2.0授权协议。断断续续接触了有两周左右的时间。不得不吐槽的,依然是自己的学习习惯问题,总是着急想了解一切,习惯性地钻牛角尖去理解小的细节,而不是从宏观上去掌握,或者说先用起来(少年,一辈子辣么长,你这么着急合适吗?)。好在前人们已经做好了很好的demo,我自己照着抄一抄也就理解了大概如何用,依旧手残党,依旧敲不出好代码。忏悔…
Spring Security入门教程:利用Spring Security实现安全控制
m0_60707660的博客
04-08 699
name=lisi这个时候我们可以看到,我们只要在浏览器上输入这个地址。就可以返回我们服务里面的内容。那么这就有一个问题,就是说如果我们把这个服务发布在互联网上面,那不是谁都可以调用。所以他就没有一个安全防护的一个环节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值