Spring Security(安全框架,必须登录成功才能访问指定资源)

news2024/11/13 14:58:11

一、背景知识 

 1、Spring Security

  • 是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
  • 它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(IOC: 控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能。
  • 减少了为企业系统安全控制编写大量重复代码的工作。

2、Spring表达式语言(Spring Expression Language,简称SpEL)

  •  是一种支持在Spring框架中进行表达式计算的语言。
  • SpEL提供了一种在运行时计算表达式的能力,这些表达式可以用于在Spring配置文件中进行属性的赋值、条件的判断、方法的调用等操作。SpEL可以用于注解、XML配置文件和Java代码中。
  • SpEL支持一系列功能,包括对对象属性的引用、方法调用、算术运算、逻辑运算、条件判断、正则表达式等。
  • 在Spring框架中,SpEL通常用于在Bean定义或注解中进行复杂的配置、条件判断、动态计算属性值等操作。

下面是一个使用SpEL的示例:

@Value("#{systemProperties['java.home']}")
private String javaHome;

在这个示例中,SpEL被用来注入系统属性java.home的值到javaHome变量中。

SpEL为Spring框架提供了更加灵活和强大的表达式计算能力,使得开发人员可以更加方便地进行配置和业务逻辑的编写。

3、 CSRF(Cross-Site Request Forgery,跨站请求伪造)

  • 是一种网络安全攻击,它利用了用户在当前已登录的Web应用程序中的权限,通过伪装成用户的请求来执行非授权的操作。攻击者可以通过各种方式诱使用户访问恶意网站或点击恶意链接,从而在后台执行未经授权的操作,例如修改用户资料、发送消息等。
  • CSRF攻击通常利用了Web应用程序的安全漏洞,其中最常见的是应用程序在处理用户请求时未能验证请求来源的有效性。攻击者可以通过构造恶意的请求并引诱用户执行,来实施CSRF攻击。对于受害者来说,他们可能并不知晓这些操作的发生,因此对于Web应用程序来说,防御CSRF攻击非常重要。
  • 为了防御CSRF攻击,通常采用的策略包括使用CSRF令牌(CSRF token)来验证请求的来源、使用同源策略(Same Origin Policy)来限制跨站点请求、使用双重提交 cookie 策略等。在Web应用程序的设计和实现中,针对CSRF攻击进行全面的防御是非常重要的一环。
  • csrf验证的作用: 判断此请求是否是从本站发起,做静态的登录页面时,要把它关掉

4、使用HTML5来创建html文件还是用HTML4?

建议您使用HTML5来创建index.html文件。HTML5是当前主流的HTML版本,具有更多的新特性和功能,包括语义化标签、音视频支持、canvas绘图、表单验证等等。同时,HTML5也更符合现代Web开发的需求,并且被各大浏览器广泛支持。

虽然HTML4仍然可以在现代浏览器中正常工作,但HTML5提供了更多的优势和新特性,因此建议您选择HTML5来创建index.html文件。

二、代码实例

1、代码结构: 

2、具体代码

pom.xml

出现这个问题大概率是spring和spring security版本不兼容,需要升级或降级Spring框架或Spring Security版本以解决这个问题

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>cn.itcast.demo</groupId>
    <artifactId>securityDemo</artifactId>
    <version>1.0-SNAPSHOT</version>
    <packaging>war</packaging>
    <properties>
        <spring.version>5.2.15.RELEASE</spring.version>
    <!--    使用版本4.2.4.RELEASE会和下面的5.1.5.RELEASE版本不兼容,所以也改成5.0版本的-->
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-core</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context-support</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-jdbc</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>5.1.5.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>5.1.5.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>
            <scope>provided</scope>
        </dependency>
    </dependencies>
    <build>
        <plugins>
            <!--java编译插件-->
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.2</version>
                <configuration>
                    <source>1.8</source>
                    <target>1.8</target>
                    <encoding>UTF-8</encoding>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.tomcat.maven</groupId>
                <artifactId>tomcat7-maven-plugin</artifactId>
                <version>2.2</version>
                <configuration>
                    <port>9090</port>
                    <path>/</path>
                </configuration>
            </plugin>
        </plugins>
    </build>


</project>

PasswordEncoderExample

需要使用BCryptPasswordEncoder对密码进行加密,然后将加密后的密码复制到配置文件中

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**
 * 使用BCrypt加密后的密码
 */
public class PasswordEncoderExample {
    public static void main(String[] args) {
        //原密码
        String rawPassword="123456";
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        //加密后的密码
        String encodedPassword = encoder.encode(rawPassword);
        System.out.println(encodedPassword);
    }
}

控制台输出:

 spring-security.xml

在最新版本的Spring Security中,密码编码器的配置变得更加严格以确保安全性。因此,必须为密码配置正确的编码器,否则会出现 "There is no PasswordEncoder mapped for the id 'null'" 的异常。

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans
        xmlns:beans="http://www.springframework.org/schema/beans"
        xmlns="http://www.springframework.org/schema/security"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://www.springframework.org/schema/beans
                            http://www.springframework.org/schema/beans/spring-beans.xsd
                            http://www.springframework.org/schema/security
                            http://www.springframework.org/schema/security/spring-security.xsd">

    <!--以下页面不被拦截,该页面不受security的登录等限制-->
    <http pattern="/login.html" security="none"></http>
    <!--
            intercept-url: 表示拦截页面
            /*: 本级目录下的资源
            /**: 本级目录以及本级目录下所有子目录的资源
            form-login: 自动产生登录表单
            login-page: 指定登录页面
            default-target-url: 登录成功后跳转的页面
            authentication-failure-url: 登录失败后跳转的页面
        -->
    <!--页面拦截规则-->
    <http>
        <!--定义某资源只有拥有角色ROLE_USER的用户才可以访问-->
        <intercept-url pattern="/*" access="hasRole('ROLE_USER')"/>
        <form-login login-page="/login.html" default-target-url="/index.html"/>
        <!--关闭csrf-->
        <!--csrf验证的作用: 判断此请求是否是从本站发起,做静态的登录页面时,要把它关掉-->
        <csrf disabled="true"/>
        <!--退出登录-->
        <logout/>
    </http>

    <!--认证管理器-->
    <authentication-manager>
        <authentication-provider>
            <password-encoder ref="passwordEncoder"/>
            <user-service>
                <!--必须通过name和password的登录,才能获得ROLE_USER这个角色-->
                <user name="admin" password="$2a$10$FYIRQkPI6sOj2wKssOCgGO0yBMnygEIjCYPNr5yHsWv5HtjMwtvO2" authorities="ROLE_USER"/>

            </user-service>
        </authentication-provider>
    </authentication-manager>

    <!--密码编码器-->
    <beans:bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
</beans:beans>

 web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         version="2.5">
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring-security.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <!--过滤器代理,转发给springSecurityFilterChain-->
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <!--定义的过滤器映射名字要和上面定义的过滤器名字一致-->
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
<!--    通过配置filter和filter-mapping,可以实现对请求进行预处理或后处理操作,如身份验证、日志记录、编码转换等。-->
</web-app>

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>首页</title>
</head>
<body>
欢迎!欢迎!欢迎!
<!--href: 插入了一个链接,点击名为“退出”的链接后,跳转到logout页面-->
<a href="/logout">退出</a>
</body>
</html>

 login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录页面</title>
</head>
<body>
    <form action="/login" method="post">
        <table>
            <tr>
                <td>用户名: </td>
                <td><input name="username"></td>
            </tr>
            <tr>
                <td>密码: </td>
                <td><input name="password"></td>
            </tr>
            <tr>
                <td><button>登录</button>></td>
            </tr>
        </table>
    </form>
</body>
</html>

运行结果:

运行:

 默认登录页面: 

 自定义登录页面:

登录后访问的页面:

 退出后的页面:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1245370.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

97、Text2NeRF: Text-Driven 3D Scene Generation with Neural Radiance Fields

简介 论文地址 使用扩散模型来推断文本相关图像作为内容先验&#xff0c;并使用单目深度估计方法来提供几何先验&#xff0c;并引入了一种渐进的场景绘制和更新策略&#xff0c;保证不同视图之间纹理和几何的一致性 实现流程 简单而言&#xff1a; 文本-图片扩散模型生成一…

在PCL视图器中使用随机生成的颜色来可视化一组匹配的点对

std::vector<Eigen::Vector2d> centroids_unknown_motion_underk; std::vector<Eigen::Vector2d> centroids_unknown_motion_k; // 进行数字填充 pcl::visualization::PCLVisualizer viewer("Centroid Visualization");int id 0;// 添加 XY 坐标系doub…

Okhttp 浅析

安全的连接 OkHttpClient: OkHttpClient: 1.线程调度 2.连接池,有则复用,没有就创建 3.interceptor 4.interceptor 5.监听工厂 6.是否失败重试 7.自动修正访问,如果没有权限或认证 8是否重定向 followRedirects 9.协议切换时候是否继续重定向 10.Cookie jar 容器 默认…

软件开发及交付中,如何平衡项目进度和团队成员的利益?

在平衡软件质量与时间、成本、范围的关系时&#xff0c;需要考虑到项目管理的金三角概念&#xff0c;即时间、成本和范围。从项目管理的角度来看&#xff0c;项目进度和团队成员的利益需要平衡。 以下是一些建议&#xff1a; 制定可行的计划&#xff1a;让项目相关各方充分参与…

Java面试-框架篇-Mybatis

Java面试-框架篇-Mybatis MyBatis执行流程延迟加载使用及原理一, 二级缓存来源 MyBatis执行流程 读取MyBatis配置文件: mybatis-config.xml加载运行环境和映射文件构造会话工厂SqlSessionFactory会话工厂创建SqlSession对象(包含了执行SQL语句的所有方法)操作数据库的接口, Ex…

Retrofit 原理浅析 二

类型安全的连接 enqueue : 异步 切线程,会在队列中执行 execute : 同步 不切线程 Retrofit:Create 1.验证是否是接口 否则是类或者其他则报错 API Declarations must be interfaces 2.check . add 取出进行处理,然后添加到Colltions 中,如果有父接口则报错,不能是泛型 添加…

【uniapp】部分图标点击事件无反应

比如&#xff1a;点击这个图标在h5都正常&#xff0c;在小程序上无反应 css&#xff1a;也设置z-index&#xff0c;padding 页面上也试过click.native.stop.prevent"changePassword()" 时而可以时而不行&#xff0c; 最后发现是手机里输入键盘的原因&#xff0c;输…

pcie-2-rj45速度优化

背景: 目前用iperf3打流传输速率达不到要求,千兆实际要求跑到800M以上: 优化方案: 1.优化defconfig: 首先编译user版本验证看是否正常 debug版本关闭CONFIG_SLUB_DEBUG_ON宏控。 2.找FAE ,通过更换驱动,或者更新驱动来优化 3.绑定大核: 以8125网卡为例,udp…

【计算机网络笔记】数据链路层概述

系列文章目录 什么是计算机网络&#xff1f; 什么是网络协议&#xff1f; 计算机网络的结构 数据交换之电路交换 数据交换之报文交换和分组交换 分组交换 vs 电路交换 计算机网络性能&#xff08;1&#xff09;——速率、带宽、延迟 计算机网络性能&#xff08;2&#xff09;…

开启数据库审计(db,extended级别或os级别),并将审计文件存放到/home/oracle/audit下

文章目录 开启数据库审计&#xff08;db,extended级别或os级别&#xff09;&#xff0c;并将审计文件存放到/home/oracle/audit下一. 简介二. 配置2.1. 审计是否安装2.2. 审计表空间迁移2.3. 审计参数2.4. 审计级别2.5. 其他审计选项2.6. 审计相关视图 三. 使用3.1. 开启/关闭审…

【已解决】微信小程序腾讯地图的map清除markers,setData将marker置空后,安卓和ios还会显示上次的内容的问题所在以及解决办法

问题描述 1.我首先点击了这个marker 2.这里可以看到根据id获取到了他的信息 3.当我滑动了地图&#xff0c;这时候重新加载了markers&#xff0c;我再次点击这个marker 4.会发现获取不到数据了 问题原因 个人猜测引起这个问题的原因是id重叠了&#xff0c;导致获取不到数据&am…

【shell】函数和数组的原理及使用注意

目录 一、函数 1.1函数的优点&#xff1a; 1.2如何定义函数&#xff08;shell&#xff09; 1.3 演示函数的作用以及增删改查 关于函数的使用 关于declare查询的用法 关于函数的增加与调用 关于函数的返回值return 关于echo作为返回 关于函数的参数传递 关于函数的环…

前端编码技巧须知

前端开发中可能会使用到以下软件&#xff0c;它们各自具有不同的作用&#xff1a; 代码编辑器&#xff1a;例如Sublime Text、Atom、Visual Studio Code等&#xff0c;用于编写和编辑HTML、CSS和JavaScript等前端代码。网页浏览器&#xff1a;例如Chrome、Firefox、Safari等&a…

【C++】C++入门(下)——有C语言基础的C++学习

C入门&#xff08;下&#xff09; 一、引用1.引用的概念2.引用的定义3.引用特性4.常引用5.使用场景做参数做返回值 6.引用的作用7.引用与指针的区别 二、内联函数1.概念2.特性 三、auto关键字&#xff08;C11&#xff09;1.简介2.auto的使用细则auto与指针和引用结合起来使用在…

python appiumn 自动化测试 入门

资源下载 链接&#xff1a;https://pan.baidu.com/s/1zl1yXYna73RAL-V0PQ9xHA 提取码&#xff1a;syjg 安装JDK 不详细说了 配置Android SDK 新建 ANDROID_HOME配置对应的SDK路径 新增PATH 安装python库 pip install Appium-Python-Client报如图错误的话可以使用 pytho…

搭建FTP

第一步&#xff1a;按【Win R】快捷键打开运行对话框&#xff0c;输入“optionalfeatures”后&#xff0c;按回车键 第二步&#xff1a;从“启用或关闭Windows功能”弹窗中找到Internet Information Services(或者中文版Internet信息服务)并打开&#xff0c;配置IIS并点击确…

单片机语音芯片开发要解决的问题

在单片机语音芯片开发过程中&#xff0c;可能会遇到多种问题&#xff0c;这些问题可能来自于技术层面&#xff0c;也可能来自于芯片本身的设计和应用层面。下面让我们具体从芯片的功耗、语音识别的准度、芯片的尺寸和芯片的可靠性四个方面开展讨论。 1.芯片的功耗问题 首先&a…

motionlayout的简单使用

MotionLayout 什么是motionLayout&#xff1f; MotionLayout 是 Android 中的一个强大工具&#xff0c;用于创建复杂的布局动画和过渡效果。它是 ConstraintLayout 的一个子类&#xff0c;继承了 ConstraintLayout 的布局功能&#xff0c;同时添加了动画和过渡的支持。Motion…

Java字节码指令集概述及分类详解

Java全能学习面试指南&#xff1a;https://javaxiaobear.cn 1、字节码指令集与解析概述 Java字节码对于虚拟机&#xff0c;就好像汇编语言对于计算机&#xff0c;属于基本执行指令。 Java 虚拟机的指令由一个字节长度的、代表着某种特定操作含义的数字&#xff08;称为操作码&a…

Redis并发问题解决方案

目录 前言 1.分布式锁 1.基于单个节点 2.基于多个节点 3.watch(乐观锁) 2.原子操作 1.单命令操作 2.Lua 脚本(多命令操作) 3.事务 1.执行步骤 2.错误处理 3.崩溃处理 总结 前言 在多个客户端并发访问Redis的时候&#xff0c;虽然Redis是单线程执行指令&#xff…