spring-security 配置簡介

1、Spring Security 簡介

　　Spring Security 是一個能夠基於 Spring 的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在 Spring 應用上下文中配置 Bean ，充分利用了 Spring IoC，DI 和 AOP 功能，為應用系統提供聲明式的安全訪問控制功能，減少了為企業系統安全控制編寫大量重復代碼的工作。

 

2、Spring Security 入門小 demo

　　a、最簡單 demo

　　　　1）、創建工程 spring-security-demo ，pom.xml 內容為：

　　　　　　

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <groupId>cn.itcast.demo</groupId>
    <artifactId>spring-security-demo</artifactId>
    <packaging>war</packaging>
    <version>0.0.1-SNAPSHOT</version>
    <properties>
        <spring.version>4.2.4.RELEASE</spring.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-core</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context-support</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-test</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-jdbc</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>
            <scope>provided</scope>
        </dependency>
    </dependencies>
    <build>
      <plugins>        
          <!-- java編譯插件 -->
          <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.2</version>
                <configuration>
                    <source>1.7</source>
                    <target>1.7</target>
                    <encoding>UTF-8</encoding>
                </configuration>
          </plugin>      
          <plugin>
                <groupId>org.apache.tomcat.maven</groupId>
                <artifactId>tomcat7-maven-plugin</artifactId>
                <configuration>
                    <!-- 指定端口 -->
                    <port>9090</port>
                    <!-- 請求路徑 -->
                    <path>/</path>
                </configuration>
            </plugin>
       </plugins>  
    </build>
</project>

　　　　spring-security 框架主要依賴於 spring-security-web 和 spring-security-config 兩個包（還需依賴 spring 相關包）。

　　　　2）、創建 web.xml

　　　　　　

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
    version="2.5">        
     <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring-security.xml</param-value>
     </context-param>
     <listener>
        <listener-class>
            org.springframework.web.context.ContextLoaderListener
        </listener-class>
     </listener>    
     <filter>  
        <filter-name>springSecurityFilterChain</filter-name>          
　　　　 <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
     </filter>  
     <filter-mapping>  
        <filter-name>springSecurityFilterChain</filter-name>  
        <url-pattern>/*</url-pattern>  
     </filter-mapping>    
</web-app>

　　　　spring-security 利用 spring 的過濾器代理類 org.springframework.web.filter.DelegatingFilterProxy 實現對請求的過濾，然后將請求交給 springSecurityFilterChain 這個類來具體處理請求（springSecurityFilterChain 這個類的名字是 spring-security內置的，不能改變）。該 web.xml 的配置就是 spring-security 的入口。

　　　　3）、創建 index.xml 

　　　　

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>首頁</title>
</head>
<body>
歡迎進入神奇的spring security世界~~~
</body>
</html>

　　　　4）、創建 spring 配置文件 spring-security.xml

　　　　

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 頁面攔截規則 -->
    <http use-expressions="false">
        <intercept-url pattern="/**" access="ROLE_USER" />
        <form-login/>    
    </http>

    <!-- 認證管理器 -->
    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="admin" password="123456" authorities="ROLE_USER"/>
            </user-service>        
        </authentication-provider>    
    </authentication-manager>
</beans:beans>

 

　　　　此案例沒有登錄頁，使用了系統自動生成的登錄頁，效果如下：

　　　　

 

　　　　配置說明：

　　　　http：配置頁面攔截規則

　　　　http 中的配置：

　　　　　　use-expression：是否啟用SPEL表達式；true為啟用（默認為 true）；false 為不啟用；

　　　　　　<intercept-url pattern=" " /> ：pattern ：配置要攔截的資源； /* 表示的是該目錄下的資源，只包括本級目錄不包括下級目錄；

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　/** 表示的是該目錄以及該目錄下所有級別子目錄的資源

　　　　　　　　　　　　　　　　　　　　access：配置角色名稱：要求必須以 ROLE_ 開頭

　　　　　　<form-login />：開啟表單登錄功能

　　　　　　form-login 中的配置：

　　　　　　　　login-page：指定登錄頁面

　　　　　　　　authentication-failure-url：指定了身份驗證失敗時跳轉到的頁面

　　　　　　　　default-target-url：指定了成功進行身份驗證和授權后默認呈現給用戶的頁面

　　　　　　　　always-use-default-target：指定了是否在身份通過驗證后總是跳轉到 default-target-url 指定的URL

　　　　　　<logout/> ：加此配置后，會自動的產生退出登錄的地址 /logout，如果不想用這個地址，可以自定義生成的退出地址以及跳轉的頁面

　　　　　　logout 中的配置：

　　　　　　　　logout-url：退出的地址，會自動生成

　　　　　　　　logout-success-url：退出后跳轉的地址

　　　　authentication-manager：認證管理器

　　　　authentication-manager 中的配置：

　　　　　　<authentication-provider>：認證的提供者

　　　　　　<authentication-provider> 中的配置

　　　　　　　　<user-serivce>

　　　　　　　　<user-serivce> 中的配置：

　　　　　　　　　　<user>：配置當前系統的用戶

　　　　　　　　　　<user> 中的配置：

　　　　　　　　　　　　name：用戶的名稱（用戶登錄時使用的用戶名）

　　　　　　　　　　　　password：用戶的密碼（用戶登錄時使用的密碼）

　　　　　　　　　　　　authorities：指定當前用戶對應的角色（對應access 中的角色名）

　　b、自定義登錄頁

　　　　實際開發中，我們不可能使用系統生成的登錄頁，而是使用我們自己的登錄頁

　　　　1）、構建登錄頁

　　　　

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>登陸</title>
</head>
<body>    
    <form action='/login' method='POST'>
        <table>
            <tr>
                <td>用戶名:</td>
                <td><input type='text' name='username' value=''></td>
            </tr>
            <tr>
                <td>密碼:</td>
                <td><input type='password' name='password' /></td>
            </tr>
            <tr>
                <td colspan='2'><input name="submit" type="submit"
                    value="登陸" /></td>
            </tr>
        </table>
    </form>
</body>
</html>

　　　　說明：action 中的的路徑 "/login" 是 spring-security 提供的路徑（若想修改,可以修改配置文件中的 form-login 中 的login-processing-url 屬性 ），

　　　　　　　　登錄成功會定向自己到設置的主頁，登錄失敗會定向到設置的錯誤頁。

　　　　　　　　method 方式必須為 "post"。

　　　　　　　　input 中的 name 默認是為 username 和 password ，若想修改，可以修改配置文件中的 form-login 中的 username-parameter 和 password-parameter屬性

　　　　2）、構建錯誤頁

　　　　　　

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>首頁</title>
</head>
<body>
用戶名或密碼錯誤~~~
</body>
</html>

　　　　3）、修改 spring 配置文件 spring-security.xml

　　　　

<!-- 以下頁面不被攔截 -->
    <http pattern="/login.html" security="none"></http>
    <http pattern="/login_error.html" security="none"></http>
    <!-- 頁面攔截規則 -->
    <http use-expressions="false">
        <intercept-url pattern="/*" access="ROLE_USER" />
        <form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>    
        <csrf disabled="true"/>
    </http>

　　　　說明：seurity = "none" 設置此資源不被攔截

　　　　　　　如果沒有設置登錄頁 security = "none" ，將會出現以下錯誤

　　　　　　　　

　　　　　　　　因為登錄頁會反復的被重定向

　　　　　　　　配置說明：

　　　　　　　　　　csrf disable="true" 關閉 csrf ，否則會出現錯誤

　　　　　　　　　　

 

　　　　　　　　　　如果在系統中使用了框架頁（例如：iframe），需要設置框架頁的策略為 SAMEORIGIN