Benjamin_whx
Benjamin_whx

spring_security安全框架详解

本文是在项目中用到Spring Security3来进行登录验证时才进行学习的,写的比较片面,请大家提出问题。

优秀的安全框架连接:

http://blog.csdn.net/z69183787/article/details/38542109

http://blog.csdn.net/z69183787/article/details/38542125

http://blog.csdn.net/z69183787/article/details/38542139

首先要在web.xml中配置


contextConfigLocation

classpath*:/applicationContext.xml
classpath*:/applicationContext-security.xml

加载security配置文件

加入过滤器:


		springSecurityFilterChain
		org.springframework.web.filter.DelegatingFilterProxy
	

		springSecurityFilterChain
		/*
		REQUEST
		FORWARD

session监听器: 

  
	    org.springframework.security.web.session.HttpSessionEventPublisher


用户是怎样认证的?

在我们的安全系统中,当一个用户在我们的登录form中提供凭证后,这些凭证信息必须与凭证存储中的数据进行校验以确定下一步的行为,凭证的校验涉及到一系列的逻辑组件,它们封装了认证过程。

站在一个较高的层次上看,你可以看到有三个主要的组件负责这项重要的事情:

接口名                                         描述/角色

AbstractAuthenticationProcessingFilter 它在基于web的认证请求中使用。处理包含认证信息的请求,如认     证信息可能是form POST提交的, SSO信息或者其他用户提供的。创 建一个部分完整的 Authentication对象以在链中 传递凭证信息。

 

AuthenticationManager 它用来校验用户的凭证信息,或 者会抛出一个特定的异常(校验 失败的情况)或者完整填充 Authentication象,将会包含 了权限信息。

 

AuthenticationProvider 它为AuthenticationManager 提供凭证校验。一些 AuthenticationProvider的实 现基于凭证信息的存储,如数 库,来判定凭证信息是否可以被 认可。


spring_security_login是什么?我们怎么达到这个页面的?

URLspring_security_login部分表明这是一个默认的登录页面并且是在DefaultLoginPageGeneratingFilter中命名的,我们可以使用配置属性来修改这个页面的名字从而使它对我们应用来说是唯一的。

建议修改登录页URL的默认值,修改后不仅能够对应用或搜索引擎更友好,而且能够隐藏你使用Spring Security做为安全实现的事实。

下面就是一段登录页面login.jsp的代码:




				
 

				
 

				
 

这是一个利用spring安全框架登录的页面,点击提交后,会检查用户名和密码是否为所需正则,再进行提交,提交会根据配置文件进行认证匹配

 

下面给出application-security.xml




	SpringSecurity安全配置


 

认证配置中的authentication-manager是对用户输入的信息进行验证的操作,我们通过实现UserDetailService进行实现。

下面是UserDetailServiceImpl代码图


 package com.wiseweb.pom.service.account;
 
 import com.google.common.collect.Lists;
import com.google.common.collect.Sets;
import com.wiseweb.pom.entity.Role;
import com.wiseweb.pom.entity.Menu;
import com.wiseweb.util.ElintUtil;
import com.wiseweb.util.LoginUser;

import java.util.List;
import java.util.Set;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.dao.DataAccessException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.GrantedAuthorityImpl;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.transaction.annotation.Transactional;
 
 @Transactional(readOnly=false)
 public class UserDetailsServiceImpl
   implements UserDetailsService {
   private AccountManager accountManager;
 
   public UserDetails loadUserByUsername(String username)
     throws UsernameNotFoundException, DataAccessException{
     com.wiseweb.pom.entity.User user = this.accountManager.findUniqueUser(username);
     if (user == null) {
    	 throw new UsernameNotFoundException("用户" + username + " 不存在");
     }
     @SuppressWarnings("rawtypes")
	Set grantedAuths = obtainGrantedAuthorities(user);
     boolean enabled = true;//是不是激活的
     boolean accountNonExpired = true;//账户是否过期
     boolean credentialsNonExpired = true;//认证是否过期
     boolean accountNonLocked = true;//是否锁定
 
     @SuppressWarnings("unchecked")
	UserDetails userdetails = new org.springframework.security.core.userdetails.User(
       user.getLoginName(), user.getPassWord(), enabled, 
       accountNonExpired, credentialsNonExpired, accountNonLocked, 
       grantedAuths);
 
     return new LoginUser(userdetails, user);
   }
 
   @SuppressWarnings("unchecked")
private Set obtainGrantedAuthorities(com.wiseweb.pom.entity.User user)
   {
     @SuppressWarnings("rawtypes")
	Set authSet = Sets.newHashSet();
     
     List  roles = user.getRoles();
     Set menus = Sets.newHashSet();
     for(Role role :roles){
    	 System.out.println(role.getRoleName());
    	 menus.addAll(role.getMenus());
     }
     List menusList = Lists.newArrayList() ;
     menusList.addAll(menus);
     user.setMenus(menusList);
     for (Menu menu : user.getMenus()) {
       if (menu.getNodeType().intValue() == 3) {
         authSet.add(new GrantedAuthorityImpl(menu.getPrefixedName()));
       }
     }
     user.setMenus(new ElintUtil().menuRelationSet(user.getMenus()));
     return authSet;
   }
 
   @Autowired
   public void setAccountManager(AccountManager accountManager) {
     this.accountManager = accountManager;
   }
 }

这个类通过实现UserDetailService来达到返回一个org.springframework.security.core.userdetails.UserDetails的目的。

下面是我的User实体类:

 package com.wiseweb.pom.entity;
 
 import com.google.common.collect.Lists;
import com.wiseweb.pom.entity.IdEntity;
import com.wiseweb.pom.entity.Menu;
import com.wiseweb.pom.entity.Department;

import java.util.ArrayList;
import java.util.Date;
import java.util.List;

 import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.JoinColumn;
import javax.persistence.JoinTable;
import javax.persistence.ManyToMany;
import javax.persistence.ManyToOne;
import javax.persistence.Table;
import javax.persistence.Transient;

import org.hibernate.annotations.Cache;
import org.hibernate.annotations.CacheConcurrencyStrategy;
import org.hibernate.annotations.Fetch;
import org.hibernate.annotations.FetchMode;
 
 @SuppressWarnings("unused")
@Entity
 @Table(name="wise_user")
 public class User extends IdEntity
 {
   private static final long serialVersionUID = 1L;
   private String loginName;
   private String name;
   private String passWord;
   private String userStatus;
   private String email;
   private String telephone;
   private Integer sex;
   private Date lastLoginTime ;
   private String userSign ;
   private Integer orderType ;
   private List roles = Lists.newArrayList() ;
   private Integer flag ;
	private List menus = Lists.newArrayList();
	private List homeMenus = new ArrayList() ;
   private Department department = null;
 
   public User()
   {
   }
 
   public User(String loginName, String name, String passWord, String userStatus, String email, String telephone)
   {
     this.loginName = loginName;
     this.name = name;
     this.passWord = passWord;
     this.userStatus = userStatus;
     this.email = email;
     this.telephone = telephone;
   }
   public User(String loginName, String name, String passWord, String userStatus, String email, String telephone,Integer sex)
   {
     this.loginName = loginName;
     this.name = name;
     this.passWord = passWord;
     this.userStatus = userStatus;
     this.email = email;
     this.telephone = telephone;
     this.sex = sex;
   }
   @Column(name="login_name", nullable=false, length=45)
   public String getLoginName() {
     return this.loginName;
   }
 
   public void setLoginName(String loginName) {
     this.loginName = loginName;
   }
 
   @Column(name="name", nullable=false, length=45)
   public String getName() {
     return this.name;
   }
 
   public void setName(String name) {
     this.name = name;
   }
 
   @Column(name="pass_word", nullable=false, length=45)
   public String getPassWord() {
     return this.passWord;
   }
 
   public void setPassWord(String passWord) {
     this.passWord = passWord;
   }
 
   @Column(name="user_status", nullable=false, length=45)
   public String getUserStatus() {
	   if(this.userStatus != null){
		   return this.userStatus;
	   }else{
		   return "1";
	   }
   }
 
   public void setUserStatus(String userStatus) {
     this.userStatus = userStatus;
   }
 
   @Column(name="email", length=45)
   public String getEmail() {
     return this.email;
   }
 
   public void setEmail(String email) {
     this.email = email;
   }
 
   @Column(name="telephone", length=45)
   public String getTelephone() {
     return this.telephone;
   }
 
   public void setTelephone(String telephone) {
     this.telephone = telephone;
   }
   
   @Column(name="sex")
	public Integer getSex() {
	   if(this.sex != null){
		   return sex;
	   }else{
		   return 1;
	   }
	}
	
	public void setSex(Integer sex) {
		this.sex = sex;
	}
   public void setMenus(List menus) {
     this.menus = menus;
   }
 
   @Transient
   public List getMenus() {
     return this.menus;
   }
   
   @Transient
   public List getHomeMenus() {
	return this.homeMenus;
   }

   public void setHomeMenus(List homeMenus) {
	this.homeMenus = homeMenus;
   }

@Column(name="last_login_time", nullable=false, length=45)
   public Date getLastLoginTime() {
	return lastLoginTime;
	}
	
	public void setLastLoginTime(Date lastLoginTime) {
		this.lastLoginTime = lastLoginTime;
	}
	@Column(name="user_sign", length=45)
	public String getUserSign() {
		return userSign;
	}
	
	public void setUserSign(String userSign) {
		this.userSign = userSign;
	}
	@Column(name="order_type")
	public Integer getOrderType() {
		return orderType;
	}
	public void setOrderType(Integer orderType) {
		this.orderType = orderType;
	}
	@Column(name="flag", nullable=false)
	public Integer getFlag() {
		return flag;
	}
	
	public void setFlag(Integer flag) {
		this.flag = flag;
	}
	@ManyToOne
	@JoinColumn(name="depart_id")
	public Department getDepartment() {
		return department;
	}

	public void setDepartment(Department department) {
		this.department = department;
	}
//	@ManyToMany
//	   @JoinTable(name="wise_role_user", joinColumns={@javax.persistence.JoinColumn(name="user_id")}, inverseJoinColumns={@javax.persistence.JoinColumn(name="role_id")})
//	   @Fetch(FetchMode.SUBSELECT)
//	   @Cache(usage=CacheConcurrencyStrategy.READ_WRITE)
	   
	@ManyToMany
	@JoinTable(name = "wise_role_user", joinColumns = { @javax.persistence.JoinColumn(name = "user_id") }, inverseJoinColumns = { @javax.persistence.JoinColumn(name = "role_id")})
	@Fetch(FetchMode.SUBSELECT)
	@Cache(usage = CacheConcurrencyStrategy.READ_WRITE)
	public List getRoles() {
		return roles;
	}

	public void setRoles(List roles) {
		this.roles = roles;
	}
	
 }

有人可能要问了?为什么userDetails返回的是一个new LoginUser(userdetails, user)呢?

我们来看看LoginUser代码

 package com.wiseweb.util;
 
 import com.wiseweb.pom.entity.HomeMenu;
import com.wiseweb.pom.entity.Role;
import com.wiseweb.pom.entity.User;
import com.wiseweb.pom.entity.Menu;
import com.wiseweb.pom.entity.Department;

 import java.util.Collection;
import java.util.Date;
import java.util.List;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
 
 public class LoginUser implements UserDetails{
	 
   private static final long serialVersionUID = 1366695319372075545L;
   private UserDetails userDetails;
   private User user;
 
   public LoginUser(UserDetails userDetails, User user)
   {
     this.userDetails = userDetails;
     this.user = user;
   }
 
   public Collection getAuthorities()
   {
     return this.userDetails.getAuthorities();
   }
 
   public String getPassword()
   {
     return this.userDetails.getPassword();
   }
 
   public String getUsername()
   {
     return this.userDetails.getUsername();
   }
 
   public boolean isAccountNonExpired()
   {
     return this.userDetails.isAccountNonExpired();
   }
 
   public boolean isAccountNonLocked()
   {
     return this.userDetails.isAccountNonLocked();
   }
 
   public boolean isCredentialsNonExpired()
   {
     return this.userDetails.isCredentialsNonExpired();
   }
 
   public boolean isEnabled()
   {
     return this.userDetails.isAccountNonExpired();
   }
 
   public UserDetails getUserDetails() {
     return this.userDetails;
   }
 
   public String getLoginName() {
     return this.user.getLoginName();
   }
 
   public String getName() {
     return this.user.getName();
   }
   //by lib
   public Long getUserId() {
	     return this.user.getId();
   }
 
   public String getPassWord() {
     return this.user.getPassWord();
   }
 
   public String getUserStatus() {
     return this.user.getUserStatus();
   }
 
   public String getEmail() {
     return this.user.getEmail();
   }
 
   public String getTelephone() {
     return this.user.getTelephone();
   }
 
   public List getMenus() {
     return this.user.getMenus();
   }
 
   public Long getId() {
     return this.user.getId();
   }
   public Integer getSex(){
	   return this.user.getSex() ;
   }
   public Date lastLoginName(){
	   return this.user.getLastLoginTime() ;
   }
   public String userSign(){
	   return this.user.getUserSign() ;
   }
   public Integer getOrderType(){
	   return this.user.getOrderType() ;
   }
   public List getRoles(){
	   return this.user.getRoles() ;
   }
   public Integer getFlag(){
	   return this.user.getFlag() ;
   }
   public Department getDepartment(){
	   return this.user.getDepartment() ;
   }
   public List getHomeMenus(){
	   return this.user.getHomeMenus() ;
   }
   public User getUser() {
		return user;
	}

@Override
public int hashCode() {
	return this.userDetails.getUsername().hashCode() ;
}

@Override
public boolean equals(Object obj) {
	if(obj instanceof LoginUser){
		return this.userDetails.getUsername().equals(((LoginUser)obj).getUsername());
	}
	return false ;
}
}

这样如果用户的用户名和密码都正确后,spring security就会把信息放入userDetails中,并且创建一个名叫"SPRING_SECURITY_CONTEXT"的session,我们可以通过下面的方式拿到Login对象。 

 LoginUser user = (LoginUser)((SecurityContext)
			   ServletActionContext.getRequest().getSession().getAttribute(
			   "SPRING_SECURITY_CONTEXT")).getAuthentication()
			   .getPrincipal();

这样我们就可以在代码中拿到user对象进行一系列操作了。


下面我要讲一下项目中实现单点登录(一方登录,另一方再用同一帐号登录时,第一个用户被顶)的实现

我做单点登录的时候,网上很多教程很片面的说了一下spring security的配置,例如下面的配置:

可以这个配置好了之后,还是不起作用的,最根本的要去重写hashCode和equals方法,为什么呢?

因为第一个用户登录了之后,是把用户信息(帐号密码)放在userDetails中的,第二个用户再进行登录后,他的信息又会放入userDetails中,这时候就要在放入的时候进行比较,如果相同则告诉spring容器有相同的帐号登录了,就请求spring踢除第一个用户。

所以我们必须比较userDetails中的username,那么在哪里比较呢,我这个例子是在LoginUser中比较的,当然大家实现的不一样,原理其实都一样。

下面是最核心的一段代码:

@Override
public int hashCode() {
	return this.userDetails.getUsername().hashCode() ;
}

@Override
public boolean equals(Object obj) {
	if(obj instanceof LoginUser){
		return this.userDetails.getUsername().equals(((LoginUser)obj).getUsername());
	}
	return false ;
}

接着又来了一个问题,我要做成像腾讯qq那样,重复登录后及时被顶并且提示“您的账户已在异地登录”之类的提示语,告诉用户

下面是我一开始的配置

这是message.jsp代码

<%@ page contentType="text/html;charset=UTF-8" %>
<%@ include file="/common/taglibs.jsp" %>
<%@ page import="org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter" %>
<%@ page import="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter" %>
<%@ page import="org.springframework.security.web.WebAttributes" %>


可是每次被顶后,用户都直接跳到login.jsp去了,而没有走message.jsp,我就很苦恼。

于是我看了一下SessionmanagerFilter和ConcurrentSessionFilter的源码,认为我的配置是正确的。

下面是两个源码,也可以去我的博客去看全文:http://blog.csdn.net/benjamin_whx/article/details/39204699

SessionManagerFilter:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  
        throws IOException, ServletException {  
    HttpServletRequest request = (HttpServletRequest) req;  
    HttpServletResponse response = (HttpServletResponse) res;  
    //省略……  
     //判断当前session中是否有SPRING_SECURITY_CONTEXT属性  
    if (!securityContextRepository.containsContext(request)) {  
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();  
  
        if (authentication != null && !authenticationTrustResolver.isAnonymous(authentication)) {  
            try {  
                //再通过sessionStrategy执行session固化、并发处理  
                   //与UsernamePasswordAuthenticationFilter时处理一样,后面会仔细分析。  
                sessionStrategy.onAuthentication(authentication, request, response);  
            } catch (SessionAuthenticationException e) {  
                SecurityContextHolder.clearContext();  
                failureHandler.onAuthenticationFailure(request, response, e);  
                return;  
            }  
            //把SecurityContext设置到当前session中  
            securityContextRepository.saveContext(SecurityContextHolder.getContext(), request, response);  
        } else {  
            if (request.getRequestedSessionId() != null && !request.isRequestedSessionIdValid()) {  
                if (invalidSessionUrl != null) {  
                    request.getSession();  
                    redirectStrategy.sendRedirect(request, response, invalidSessionUrl);  
  
                    return;  
                }  
            }  
        }  
    }  
  
    chain.doFilter(request, response);  
}

ConcurrentSessionFilter 

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  
        throws IOException, ServletException {  
    HttpServletRequest request = (HttpServletRequest) req;  
    HttpServletResponse response = (HttpServletResponse) res;  
  
    HttpSession session = request.getSession(false);  
    if (session != null) {  
        //这个SessionInformation是在执行SessionManagementFilter时通过sessionRegistry构造的并且放置在map集合中的  
        SessionInformation info = sessionRegistry.getSessionInformation(session.getId());  
        //如果当前session已经注册了  
        if (info != null) {  
            //如果当前session失效了  
            if (info.isExpired()) {  
                // Expired - abort processing  
                //强制退出  
                doLogout(request, response);  
                //目标url为expired-url标签配置的属性值  
                String targetUrl = determineExpiredUrl(request, info);  
                //跳转到指定url  
                if (targetUrl != null) {  
                    redirectStrategy.sendRedirect(request, response, targetUrl);  
  
                    return;  
                } else {  
                    response.getWriter().print("This session has been expired (possibly due to multiple concurrent " +  
                            "logins being attempted as the same user).");  
                    response.flushBuffer();  
                }  
  
                return;  
            } else {  
                // Non-expired - update last request date/time  
                //session未失效,刷新时间  
                info.refreshLastRequest();  
            }  
        }  
    }  
  
    chain.doFilter(request, response);  
}

这一句话的意思就是没有指定expired-url就会默认写出这么一段话 
response.getWriter().print("This session has been expired (possibly due to multiple concurrent " +  
                            "logins being attempted as the same user).");

可是我还是没有走message.jsp,带着疑问我把session-manager中的invalid-session-url="login.jsp"去掉了,这样就可以了,是不是spring先判断走SessionManagerFilter?如果session为空就直接根据invalid-session-url跳走了呢?希望有人给我指出。



你可能感兴趣的:(Spring-Security)

  • Spring-Security(二)OAuth2认证详解(持续更新) lbmydream springcloud架构spring探析springjava后端
    SpringSecurity&Oauth2系列:SpringSecurity(一)源码分析及认证流程SpringSecurity(二)OAuth2认证详解及自定义异常处理文章目录1、OAuth2.0简介1.1OAuth2.0相关名词解释1.2四种授权模式1.3、OAuth2框架1.4OAuth2.0客户端提供功能2、OAuth2.0认证服务2.1SpringSecurityOAuth2提供的程序实
  • spring-security中重写WebSecurityConfigurerAdapter问题 梦Y spring
    继承WebSecurityConfigurerAdapter重写里面的方法,运行一直报这个错误,有没有知道的,指点指点昨天出现这个问题,我查了很多资料都没解决,于是我将WebSecurityConfigurerAdapter这个类的所有方法重写了重新运行错误没有了,我也不是很清楚,网上看了很多的,都只是重写需要的,我这里需要全部重写才可以,有知道欢迎告知我要做的是security用接口的形式请求登
  • Spring Security 自定义SecurityContextRepository zhaoll98k SpringSecurityspringspring-security
    spring-security官网对AuthenticationPersistenceandSessionManagement相关的介绍中提到有关CustomizingWheretheAuthenticationIsStored(自定义认证存储位置)的相关内容,内容中提到可以把已验证的身份信息存储在缓存或数据库中以便进行水平扩展。针对此内容我们来实现一个基于缓存的认证存储。没有基于数据库存储是因为
  • spring-security SecurityContextHolder zhaoll98k SpringSecurityspringsecurityspring
    翻译版本【spring-security6.2.1】SecurityContextHolderSecurityContextHolderSpringSecurity身份验证模型的核心是SecurityContextHolder。它包含SecurityContext。SecurityContextHolder是SpringSecurity存储身份验证详细信息的地方。SpringSecurity并不关
  • Springboot整合Spring-security 李白爱耍酷 springjava
    Springboot整合spring-security1.创建springboot项目2.引入相关依赖。spring-boot-starter-securitymysql-connector-javapersistence-api(mybaits注解支持)spring-security-corespring-boot-starter-thymeleaf//springboot对thymeleaf的
  • spring - security 权限控制 staHuri JAVA
    spring-security文档&源码官方文档本文源码依赖本文在spring-boot中运行,org.springframework.bootspring-boot-starter-security简单案例MVCconfigpackagecom.huifer.security.config;importorg.springframework.context.annotation.Configur
  • spring-security登录和权限管理 有梦想的搬砖者 javaspringsecutiryidea+spring
    springsecurityspringsecurity主要的两个功能是认证和授权认证的大概流程:UsernamepasswordAuthenticationFilter(自定义usernamepassword拦截器)UserDetailService(查询用户密码的service接口)Userdetails(用户类接口)AuthenticationProvide(为认证管理器Authentica
  • spring-security authentication persistence zhaoll98k SpringSecurityspringspring-security
    翻译版本【spring-security6.2.1】persistencePersistingAuthentication用户第一次请求受保护的资源时,系统会提示他们输入凭据。提示输入凭据的最常见方法之一是将用户重定向到登录页面。未经身份验证的用户请求受保护的资源的HTTP交换可能如下所示:例1。未经认证的用户请求受保护的资源:GET/HTTP/1.1Host:example.comCookie:
  • spring-security 默认登录页面 Chengdu.S SpringSecurityspringspringsecurity
    SpringSecurity是一个强大且高度可定制的身份验证和访问控制框架。天然与Spring整合,易扩展,引入jar包就可以用了,在boot自动装载下,不需要任何配置就可以控制资源访问。那么默认登录页是如何产生的呢?spring-security默认登录页面版本信息项目搭建步骤源码解析过滤器处理具体分析开启Trace级别日志重定向到/login流程图流程图说明版本信息内容版本JDK17sprin
  • spring-security 过滤器链初始化以及执行过程分析-Servelt Chengdu.S SpringSecurityspringspringsecurity
    spring-security架构-Servlet版本信息JavaWebServletservlet处理http请求过程-Tomcat容器SpringSecurity过滤器链如何注册?DelegatingFilterProxy、FilterChainProxy、SecurityFilterChain执行流程图SpringBootweb项目默认使用的是servlet处理请求的,本章介绍spring-
  • 前端获取Spring-Security用户信息 JayMeWangGL
    方式1:在前端通过el表达式获取:${sessionScope.SPRING_SECURITY_CONTEXT.authentication.principal.username}方式2:在前端通过使用security标签直接获取:IDEA会自动提示property为username,这样使用会报错,请自己加上“principal.”
  • Spring-Security mywaya2333 Springsecrunityspring数据库java
    SpringSecurity是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了SpringIoC,DI(控制反转InversionofControl,DI:DependencyInjection依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控
  • 若依用户端与管理端认证分离 白僧 python开发语言
    环境:若依项目将spring-boot升级到3版本,权限效验为spring-security需求:用户端与管理端,或者前台与后台认证分离,两套登录认证体系,两套token。SecurityConfig.java修改放行app//放行app端的验证.requestMatchers("/app/**").permitAll()添加sa-tokencn.dev33sa-token-spring-boot
  • Redis反序列化的一次问题 曾大浩 redis数据库springboot
    redis反序列化的一次问题1.问题描述springboot+redis不少用,但是一直没遇到什么问题,直接代码拷贝上去就用了。这次结合spring-security,将自定义的spring-security的UserDetails接口的实现类SecurityUser,反序列化取出时报错。org.springframework.data.redis.serializer.Serialization
  • springboot整合spring-security(权限框架) 豆豆的java之旅 springboot整合java前端spring
    一.准备工作1.创建maven工程创建导入jar包org.springframework.bootspring-boot-starter-parent2.2.3.RELEASEorg.springframework.bootspring-boot-starter-weborg.springframework.bootspring-boot-starter-thymeleaforg.springfr
  • SpringBoot-SpringSecurity flash20230513 springboot
    SpringSecurity中文文档:https://springdoc.cn/spring-security/Thymeleaf:https://www.thymeleaf.org/依赖org.thymeleaf.extrasthymeleaf-extras-springsecurity43.0.4.RELEASE-->org.springframework.bootspring-boot-st
  • SpringBoot整合Spring-Security 认证篇(保姆级教程) 剽悍一小兔 springspringbootjava
    本文项目基于以下教程的代码版本:https://javaxbfs.blog.csdn.net/article/details/135195636代码仓库:https://gitee.com/skyblue0678/springboot-demo为了跟shiro区别开,新建了一个分支:目录1、友善问候一下SpringSecurity⭐2、POM依赖3、登录⭐4、根据账号从DB中获取用户实体5、校验密
  • 微服务注册与发现——Eureka star-1331 微服务eureka架构
    文章目录Eureka使用引用配置启动类标记访问微服务注册微服务工程添加引用增加配置启动类增加注解启动服务注册EurekaServer集群部署修改配置文件启动多个eureka实例微服务注册到多个eureka实例为EurekaServer添加用户认证引入spring-security配置关闭security的csrf,否则client无法注册client注册Eureka自我保护模式常见问题1、Cann
  • OAuth 2.0 入门指南:掌握授权码模式 远见阁 javaspringboot
    一、授权码模式(1)spring-security-oauth2从2.4.x版本开始,@EnableAuthorizationServer注解就弃用过时了(2)当前演示Demo版本:springboot的1.5.x版本与spring-security-oauth2的2.3.8.RELEASE整合,如果使用springboot2.x.x版本是不兼容的,程序会报错。(3)spring-security
  • Springboot 整合SpringSecurity实现账号密码+手机验证码登陆 枫林wan Springbootjavaspringbootjava安全
    Springboot整合SpringSecurity实现账号密码+手机验证码登陆示例说明版本示例安装Spring-security介绍为什么不用shiroSpring-Security做用户认证、授权CSRF跨站请求伪造防护iframe嵌入提升用户、编码体验更多SpringSecurity是Spring提供安全管理框架。核心内容包含认证、授权、攻击防护。实际上SpringSecurity已经发展了
  • 【个人版】SpringBoot下Spring-Security核心概念解读【一】 苏南(src) spring-securityspringbootspring-security
    SpringBoot+Spring-Security+FilterChainProxySpring-Security全局导读:1、Security核心类设计2、HttpSecurity结构和执行流程解读3、Spring-Security个人落地篇背景:凡项目内存在与外部系统交互,基本安全校验少不了。因项目规模与框架发展原因,历史项目中很多时候直接在Filter中完成安全校验(HandlerInte
  • 【个人版】SpringBoot下Spring-Security自定义落地篇【三】 苏南(src) spring-securityspringbootspring-security
    背景:前两篇文章将spring-security的设计架构、核心类、配置及构建过程基本过了一遍,其实很偏理论,如果对源码不感兴趣或项目使用不深,基本可以忽略,毕竟完全理解可能也不会用到,时间长也忘掉了。但是如果你想对代码进行微调,或者写出自己想要的设计效果,那么读一读还是很有必要,毕竟开发过程就是一个学习的过程。本篇是在参考遍地继承WebSecurityConfigurerAdapter的方案上,
  • 【个人版】SpringBoot下Spring-Security核心概念解读【二】 苏南(src) spring-securityspringbootspring-security
    Spring-Security+HttpSecuritySpring-Security全局导读:1、Security核心类设计2、HttpSecurity结构和执行流程解读3、Spring-Security个人落地篇背景:Spring-Security框架的核心架构上一篇已经概述,展示其执行流程及逻辑,但是和我们实际使用有点差距,相信大家在使用此框架时,肯定被以下代码迷惑过:@Configurat
  • security实现多种登录方式 1 Eugene03 servletjavaspring
    Security多种方式登录1.Security介绍官网链接:https://docs.spring.io/spring-security/reference/5.7.6/servlet/architecture.html2.Security自定义拦截器实现多种登录方式1.账户密码登录1.自定义MyUsernamePasswordFilter/***2023/2/26**@authorcyh*10
  • Spring-Security登录认证授权原理 IT职业与自媒体思考
    spring-security源码下载地址:https://github.com/spring-projects/spring-securitySpring-Security源码解读:1.使用ctrl+shift+n组合键查找UsernamePasswordAuthenticationFilter过滤器,该过滤器是用来处理用户认证逻辑的,进入后如图:(1)可以看到它默认的登录请求url是"/log
  • 简单的使用SpringBoot整合SpringSecurity 爱笑男孩424 springbootjavaspring
    spring-security简介Spring-Security是针对Spring项目的安全框架,也是Spring-Boot底层安全模块默认的技术类型,他可以实现强大的Web安全控制,对于安全控制,提供身份验证,授权和针对常见攻击的保护。它具有对保护命令式和反应式应用程序保护的一流支持,是保护基于Spring的应用程序的事实标准。我们仅需要引入spring-boot-start-security模
  • 2020-11-07 git tag使用 四线码农
    新增tagv1.0.0gittag-av1.0.0-m"集成登录和权限一起的包,sso使用spring-security,对应的admin版本tag也是v1.0.0"推送到remotegitpushorigin--tags删除tagsgittag-dv0.1.0远端删除gitpushorigin:refs/tags/checkouttaggittag列出所有taggitcheckout这时可以未该
  • Feign接口内部调用进行权限校验 zrx林夕 springCloudspringjava
    在目前微服务的体系下,我们服务url的访问有两种,一种是从网关(gateway,zuul)路由进来,还有一种就是通过feign接口内部调用,那么结合spring-security就存在以下几种场景:1.外部请求从gateway访问,需要鉴权(任何CURD的操作).这是目前最常见的方式,用户正常登录提供token访问接口,我们不再需要做其他处理.2.外部请求从gateway访问,不需要鉴权(eg:刷
  • (二十七)ATP应用测试平台——基于mybatisplus和aop切面实现数据权限隔离的案例实战 北溟溟 ATP应用测试平台#springbootspringboot
    前言在实际项目开发中,我们经常会用到俩种权限,一种是功能权限,一种是数据权限。功能权限主要是用来限制用户的操作,而数据权限是限制用户能查看到哪些数据。功能权限我们可以使用流行的框架shiro或者spring-security实现,本节内容不做介绍。关于数据权限,我们可以根据项目的需求逐个在查询条件处添加,这也是最容易想到的方案。本节内容我们提供一种更加灵活和低耦合的方式实现数据权限过滤。核心思想就
  • Spring-Security基础知识如门 没时间喽 JAVAspringjava后端
    基本概念什么是认证进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。系统为什么要认证?认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。认证:用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资
  • scala的option和some 矮蛋蛋 编程scala
    原文地址: http://blog.sina.com.cn/s/blog_68af3f090100qkt8.html 对于学习 Scala 的 Java™ 开发人员来说,对象是一个比较自然、简单的入口点。在 本系列 前几期文章中,我介绍了 Scala 中一些面向对象的编程方法,这些方法实际上与 Java 编程的区别不是很大。我还向您展示了 Scala 如何重新应用传统的面向对象概念,找到其缺点
  • NullPointerException Cb123456 androidBaseAdapter
        java.lang.NullPointerException: Attempt to invoke virtual method 'int android.view.View.getImportantForAccessibility()' on a null object reference     出现以上异常.然后就在baidu上
  • PHP使用文件和目录 天子之骄 php文件和目录读取和写入php验证文件php锁定文件
    PHP使用文件和目录 1.使用include()包含文件 (1):使用include()从一个被包含文档返回一个值 (2):在控制结构中使用include()   include_once()函数需要一个包含文件的路径,此外,第一次调用它的情况和include()一样,如果在脚本执行中再次对同一个文件调用,那么这个文件不会再次包含。   在php.ini文件中设置
  • SQL SELECT DISTINCT 语句 何必如此 sql
    SELECT DISTINCT 语句用于返回唯一不同的值。 SQL SELECT DISTINCT 语句 在表中,一个列可能会包含多个重复值,有时您也许希望仅仅列出不同(distinct)的值。 DISTINCT 关键词用于返回唯一不同的值。 SQL SELECT DISTINCT 语法 SELECT DISTINCT column_name,column_name F
  • java冒泡排序 3213213333332132 java冒泡排序
    package com.algorithm; /** * @Description 冒泡 * @author FuJianyong * 2015-1-22上午09:58:39 */ public class MaoPao { public static void main(String[] args) { int[] mao = {17,50,26,18,9,10
  • struts2.18 +json,struts2-json-plugin-2.1.8.1.jar配置及问题! 7454103 DAOspringAjaxjsonqq
    struts2.18  出来有段时间了! (貌似是 稳定版)   闲时研究下下!  貌似 sruts2 搭配 json 做 ajax 很吃香!   实践了下下! 不当之处请绕过! 呵呵   网上一大堆 struts2+json  不过大多的json 插件 都是 jsonplugin.34.jar   strut
  • struts2 数据标签说明 darkranger jspbeanstrutsservletScheme
    数据标签主要用于提供各种数据访问相关的功能,包括显示一个Action里的属性,以及生成国际化输出等功能 数据标签主要包括: action :该标签用于在JSP页面中直接调用一个Action,通过指定executeResult参数,还可将该Action的处理结果包含到本页面来。 bean :该标签用于创建一个javabean实例。如果指定了id属性,则可以将创建的javabean实例放入Sta
  • 链表.简单的链表节点构建 aijuans 编程技巧
    /*编程环境WIN-TC*/ #include "stdio.h" #include "conio.h" #define NODE(name, key_word, help) \  Node name[1]={{NULL, NULL, NULL, key_word, help}} typedef struct node {  &nbs
  • tomcat下jndi的三种配置方式 avords tomcat
    jndi(Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API。命名服务将名称和对象联系起来,使得我们可以用名称 访问对象。目录服务是一种命名服务,在这种服务里,对象不但有名称,还有属性。          tomcat配置
  • 关于敏捷的一些想法 houxinyou 敏捷
    从网上看到这样一句话:“敏捷开发的最重要目标就是:满足用户多变的需求,说白了就是最大程度的让客户满意。” 感觉表达的不太清楚。 感觉容易被人误解的地方主要在“用户多变的需求”上。 第一种多变,实际上就是没有从根本上了解了用户的需求。用户的需求实际是稳定的,只是比较多,也比较混乱,用户一般只能了解自己的那一小部分,所以没有用户能清楚的表达出整体需求。而由于各种条件的,用户表达自己那一部分时也有
  • 富养还是穷养,决定孩子的一生 bijian1013 教育人生
    是什么决定孩子未来物质能否丰盛?为什么说寒门很难出贵子,三代才能出贵族?真的是父母必须有钱,才能大概率保证孩子未来富有吗?-----作者:@李雪爱与自由 事实并非由物质决定,而是由心灵决定。一朋友富有而且修养气质很好,兄弟姐妹也都如此。她的童年时代,物质上大家都很贫乏,但妈妈总是保持生活中的美感,时不时给孩子们带回一些美好小玩意,从来不对孩子传递生活艰辛、金钱来之不易、要懂得珍惜
  • oracle 日期时间格式转化 征客丶 oracle
    oracle 系统时间有 SYSDATE 与 SYSTIMESTAMP; SYSDATE:不支持毫秒,取的是系统时间; SYSTIMESTAMP:支持毫秒,日期,时间是给时区转换的,秒和毫秒是取的系统的。 日期转字符窜: 一、不取毫秒: TO_CHAR(SYSDATE, 'YYYY-MM-DD HH24:MI:SS') 简要说明, YYYY 年 MM   月
  • 【Scala六】分析Spark源代码总结的Scala语法四 bit1129 scala
    1. apply语法   FileShuffleBlockManager中定义的类ShuffleFileGroup,定义:   private class ShuffleFileGroup(val shuffleId: Int, val fileId: Int, val files: Array[File]) { ... def apply(bucketId
  • Erlang中有意思的bug bookjovi erlang
      代码中常有一些很搞笑的bug,如下面的一行代码被调用两次(Erlang beam) commit f667e4a47b07b07ed035073b94d699ff5fe0ba9b Author: Jovi Zhang <[email protected]> Date: Fri Dec 2 16:19:22 2011 +0100 erts:
  • 移位打印10进制数转16进制-2008-08-18 ljy325 java基础
    /** * Description 移位打印10进制的16进制形式 * Creation Date 15-08-2008 9:00 * @author 卢俊宇 * @version 1.0 * */ public class PrintHex { // 备选字符 static final char di
  • 读《研磨设计模式》-代码笔记-组合模式 bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ import java.util.ArrayList; import java.util.List; abstract class Component { public abstract void printStruct(Str
  • 利用cmd命令将.class文件打包成jar chenyu19891124 cmdjar
    cmd命令打jar是如下实现: 在运行里输入cmd,利用cmd命令进入到本地的工作盘符。(如我的是D盘下的文件有此路径 D:\workspace\prpall\WEB-INF\classes) 现在是想把D:\workspace\prpall\WEB-INF\classes路径下所有的文件打包成prpall.jar。然后继续如下操作: cd D: 回车 cd workspace/prpal
  • [原创]JWFD v0.96 工作流系统二次开发包 for Eclipse 简要说明 comsci eclipse设计模式算法工作swing
                           JWFD v0.96 工作流系统二次开发包 for Eclipse 简要说明     &nb
  • SecureCRT右键粘贴的设置 daizj secureCRT右键粘贴
    一般都习惯鼠标右键自动粘贴的功能,对于SecureCRT6.7.5 ,这个功能也已经是默认配置了。 老版本的SecureCRT其实也有这个功能,只是不是默认设置,很多人不知道罢了。 菜单: Options->Global Options ...->Terminal 右边有个Mouse的选项块。 Copy on Select Paste on Right/Middle
  • Linux 软链接和硬链接 dongwei_6688 linux
    1.Linux链接概念Linux链接分两种,一种被称为硬链接(Hard Link),另一种被称为符号链接(Symbolic Link)。默认情况下,ln命令产生硬链接。 【硬连接】硬连接指通过索引节点来进行连接。在Linux的文件系统中,保存在磁盘分区中的文件不管是什么类型都给它分配一个编号,称为索引节点号(Inode Index)。在Linux中,多个文件名指向同一索引节点是存在的。一般这种连
  • DIV底部自适应 dcj3sjt126com JavaScript
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml&q
  • Centos6.5使用yum安装mysql——快速上手必备 dcj3sjt126com mysql
    第1步、yum安装mysql [root@stonex ~]#  yum -y install mysql-server 安装结果: Installed:     mysql-server.x86_64 0:5.1.73-3.el6_5                   &nb
  • 如何调试JDK源码 frank1234 jdk
    相信各位小伙伴们跟我一样,想通过JDK源码来学习Java,比如collections包,java.util.concurrent包。 可惜的是sun提供的jdk并不能查看运行中的局部变量,需要重新编译一下rt.jar。 下面是编译jdk的具体步骤:         1.把C:\java\jdk1.6.0_26\sr
  • Maximal Rectangle hcx2013 max
    Given a 2D binary matrix filled with 0's and 1's, find the largest rectangle containing all ones and return its area.   public class Solution { public int maximalRectangle(char[][] matrix)
  • Spring MVC测试框架详解——服务端测试 jinnianshilongnian spring mvc test
    随着RESTful Web Service的流行,测试对外的Service是否满足期望也变的必要的。从Spring 3.2开始Spring了Spring Web测试框架,如果版本低于3.2,请使用spring-test-mvc项目(合并到spring3.2中了)。   Spring MVC测试框架提供了对服务器端和客户端(基于RestTemplate的客户端)提供了支持。 &nbs
  • Linux64位操作系统(CentOS6.6)上如何编译hadoop2.4.0 liyong0802 hadoop
    一、准备编译软件   1.在官网下载jdk1.7、maven3.2.1、ant1.9.4,解压设置好环境变量就可以用。     环境变量设置如下:   (1)执行vim /etc/profile (2)在文件尾部加入: export JAVA_HOME=/home/spark/jdk1.7 export MAVEN_HOME=/ho
  • StatusBar 字体白色 pangyulei status
    [[UIApplication sharedApplication] setStatusBarStyle:UIStatusBarStyleLightContent]; /*you'll also need to set UIViewControllerBasedStatusBarAppearance to NO in the plist file if you use this method
  • 如何分析Java虚拟机死锁 sesame javathreadoracle虚拟机jdbc
    英文资料: Thread Dump and Concurrency Locks   Thread dumps are very useful for diagnosing synchronization related problems such as deadlocks on object monitors. Ctrl-\ on Solaris/Linux or Ctrl-B
  • 位运算简介及实用技巧(一):基础篇 tw_wangzhengquan 位运算
    http://www.matrix67.com/blog/archives/263    去年年底写的关于位运算的日志是这个Blog里少数大受欢迎的文章之一,很多人都希望我能不断完善那篇文章。后来我看到了不少其它的资料,学习到了更多关于位运算的知识,有了重新整理位运算技巧的想法。从今天起我就开始写这一系列位运算讲解文章,与其说是原来那篇文章的follow-up,不如说是一个r
  • jsearch的索引文件结构 yangshangchuan 搜索引擎jsearch全文检索信息检索word分词
    jsearch是一个高性能的全文检索工具包,基于倒排索引,基于java8,类似于lucene,但更轻量级。   jsearch的索引文件结构定义如下:     1、一个词的索引由=分割的三部分组成:        第一部分是词        第二部分是这个词在多少
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他