品优购电商系统20-Spring Security

1 Spring Security简介

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

2 Spring Security入门小Demo

2.1 最简单Demo

（1）创建工程spring-security-demo ,pom.xml内容

	4.0.0
	cn.itcast.demo
	spring-security-demo
	war
	0.0.1-SNAPSHOT
	
		4.2.4.RELEASE
	
	
		
			org.springframework
			spring-core
			${spring.version}
		
		
			org.springframework
			spring-web
			${spring.version}
		
		
			org.springframework
			spring-webmvc
			${spring.version}
		
		
			org.springframework
			spring-context-support
			${spring.version}
		
		
			org.springframework
			spring-test
			${spring.version}
		
		
			org.springframework
			spring-jdbc
			${spring.version}
		
		
			org.springframework.security
			spring-security-web
			4.1.0.RELEASE
		
		
			org.springframework.security
			spring-security-config
			4.1.0.RELEASE
		
		
			javax.servlet
			servlet-api
			2.5
			provided
		
	
	
	  		
	      
		  
				org.apache.maven.plugins
				maven-compiler-plugin
				3.2
				
					1.7
					1.7
					UTF-8
				
		        
	      
				org.apache.tomcat.maven
				tomcat7-maven-plugin
				
					
					9090
					
					/
				
	  	  
	     
    

（2）创建web.xml

		
 
   contextConfigLocation
   classpath:spring-security.xml
 
 
   org.springframework.web.context.ContextLoaderListener
 	
   
   springSecurityFilterChain  		 
   org.springframework.web.filter.DelegatingFilterProxy  
   
   
   springSecurityFilterChain  
   /*  
 	

（3）创建index.html

（4）创建spring 配置文件spring-security.xml

配置说明：

intercept-url 表示拦截页面。

   /*  表示的是该目录下的资源，只包括本级目录不包括下级目录。

   /** 表示的是该目录以及该目录下所有级别子目录的资源。

form-login  开启表单登陆。

use-expressions 为是否使用 Spring 表达式语言（ SpEL ），默认为true ,如果开启，则拦截的配置应该写成以下形式

2.2 用户自定义登录页

（1）构建登陆页：

	
  

    

	  

	    
用户名:
		

	  
	  

		
密码:
		

	  
	  

		

	  
	
  

（2）构建登陆失败页  login_error.html

（3）修改 spring 配置文件spring-security.xml

security="none"  设置此资源不被拦截. 。如果你没有设置登录页security="none"  ，将会出现以下错误。

因为登录页会被反复重定向。

login-page：指定登录页面。
authentication-failure-url：指定了身份验证失败时跳转到的页面。
default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。

csrf disabled="true"  关闭csrf ,如果不加会出现错误

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。