SpringSecurity安全框架

框架简介:

Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架；它提供了一组可以在 Spring 应用上下文中配置的 Bean，充分利用了 Spring IoC， DI 和 AOP 功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

简单的说，就是我们可以控制用户登陆的权限，通过配置让不同权限的用户登录后所看到页面不同，所能操作的内容也不同，本篇博客介绍security简单的配置和使用。

环境搭建

目录结构:

1.POM文件

    4.0.0

    cn.itcast
    spring-security-demo
    1.0-SNAPSHOT
    war


    
        4.2.4.RELEASE
    

    
        
            org.springframework
            spring-core
            ${spring.version}
        
        
            org.springframework
            spring-web
            ${spring.version}
        
        
            org.springframework
            spring-webmvc
            ${spring.version}
        
        
            org.springframework
            spring-context-support
            ${spring.version}
        
        
            org.springframework
            spring-test
            ${spring.version}
        
        
            org.springframework
            spring-jdbc
            ${spring.version}
        
        
            org.springframework.security
            spring-security-web
            4.1.0.RELEASE
        
        
            org.springframework.security
            spring-security-config
            4.1.0.RELEASE
        
        
            javax.servlet
            servlet-api
            2.5
            provided
        
    
    
        
            
            
                org.apache.maven.plugins
                maven-compiler-plugin
                3.2
                
                    1.7
                    1.7
                    UTF-8
                
            
            
                org.apache.tomcat.maven
                tomcat7-maven-plugin
                
                    
                    9090
                    
                    /
                
            
        
    

2.测试用的首页Index.html

    
    


Hello My Cookie !

3. web.xml

    
        contextConfigLocation
        classpath:spring-security.xml
    
    
        org.springframework.web.context.ContextLoaderListener
    

    
    
        springSecurityFilterChain
        org.springframework.web.filter.DelegatingFilterProxy
    
    
        springSecurityFilterChain
        /*
    

    
    
        index.html
    

4.security配置文件spring-security.xml

测试环境：

启动服务器,访问 localhost:9090 ，本来我们应该是能够直接进入指定的 index.html 首页，但是安全控制器拦截下了我们，并且跳转到了系统自动生成的login页面

我们在输入了自定义的账号和密码后才能够正常访问页面，这里Spring Security框架的作用就体现出来了， 他能够帮助我们控制用户的权限，让不同权限的用户访问同一页面的内容不同，从而增加应用的安全性。

实际的开发中，我们会使用自己定义的界面作为跳转的界面，下面简单介绍下如何配置：
自定义的登陆页面:

    
    




    

        

            
用户名:
            

        
        

            
密码:
            

        
        

            

        
    

登陆失败的页面:

    
    



验证失败 !

修改spring-security.xml配置文件:

首先，要看配置我们自定义的页面不被拦截：

设置表单登陆:

关闭 csrf，如果不关登录后不管成功或者失败都会报错误：

CSRF（Cross-site request forgery）：跨站请求伪造，也被称为“One Click Attack”或者 SessionRiding，通常缩写为 CSRF 或者 XSRF，是一种对网站的恶意利用。

当使用html页面时，不关闭就会报错：

整体spring-security.xml配置文件：

谢谢 ！