Spring Secutrity入门教程

一.简介

Spring Security是 Spring提供的安全认证服务的框架(当然还有shiro框架也能实现)。 使用Spring Security可以帮助我们来简化认证 和授权的过程。

官网:https://spring.io/projects/spring-security

二.使用前需要准备的步骤

1.导入jar包,这里介绍的是maven仓库依赖jar

Spring Secutrity入门教程_第1张图片

 

 2.配置web.xml文件


Archetype Created Web Application


springSecurityFilterChain
org.springframework.web.filter.DelegatingFilterProxy


springSecurityFilterChain
/*


springmvc
org.springframework.web.servlet.DispatcherServlet


contextConfigLocation
classpath:spring-security.xml

1


springmvc
*.do

3.配置spring-security.xml

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/mvc
http://www.springframework.org/schema/mvc/spring-mvc.xsd
http://code.alibabatech.com/schema/dubbo
http://code.alibabatech.com/schema/dubbo/dubbo.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
























login-page="/login.html"
username-parameter="username"
password-parameter="password"
login-processing-url="/login.do"
default-target-url="/index.html"
authentication-failure-url="/login.html">





logout-success-url="/login.html" invalidate-session="true"/>
















class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
















到了这里,根据以上的注解,基本就能理解spring-secutriy配置文件的基本配置
权限和角色的校验拦截有配置方式也有注解方式(这里介绍一种注解@PreAuthorize("hasAuthority('add')"),其余的可百度)
如果我们要从数据库动态查询用户信息,就必须按照spring security框架的要求提供一个实现 UserDetailsService接口的实现类,并按照框架的要求进行配置即可。
框架会自动调用实现类中的方法 并自动进行密码校验。
public class SpringSecurityUserService implements UserDetailsService {
//模拟数据库中的用户数据
public static Map, User> map = new HashMap<>();
static {
com.hy.pojo.User user1 = new com.hy.pojo.User();
user1.setUsername("admin");
user1.setPassword("admin");//明文密码(没有加密)

com.hy.pojo.User user2 = new com.hy.pojo.User();
user2.setUsername("xiaoming");
user2.setPassword("1234");

map.put(user1.getUsername(),user1);
map.put(user2.getUsername(),user2);
}

//根据用户名查询用户信息
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
System.out.println("用户输入的用户名为:" + username);
//根据用户名查询数据库获得用户信息(包含数据库中存储的密码信息)
User user = map.get(username);//模拟查询根据用户名查询数据库
if(user == null){
//用户名不存在
return null;
}else{
//将用户信息返回给框架
//框架会进行密码比对(页面提交的密码和数据库中查询的密码进行比对)
List list = new ArrayList<>();
//为当前登录用户授权,后期需要改为从数据库查询当前用户对应的权限
list.add(new SimpleGrantedAuthority("permission_A"));//授权
list.add(new SimpleGrantedAuthority("permission_B"));

if(username.equals("admin")){
list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色
}
org.springframework.security.core.userdetails.User securityUser = new org.springframework.security.core.userdetails.User(username,"{noop}"+user.getPassword(),list);
return securityUser;
}
}




 

你可能感兴趣的:(Spring Secutrity入门教程)