敲代码的ciery
敲代码的ciery

Spring Security基础理论学习

前言

想着既然项目中用到Spring Security框架,那为了以后面试说到这个项目的时候不害怕被问框架问题,干脆就好好学一下,基础、实战、源码分析一个一个来。

参考资料

Spring Security参考手册:

https://www.springcloud.cc/spring-security-zhcn.html#true-java

https://docs.spring.io/spring-security/site/docs/5.1.12.RELEASE/reference/htmlsingle/#jc-authentication-userdetailsservice

Spring Security社区

http://www.spring4all.com/article/428

《Spring Security实战》

 

简介

Spring Security前身是Acegi Security,在被收纳为Spring子项目后正式更名为Spring Security

Spring Security,一种基于Spring AOP和Servlet过滤器的安全框架,可提供全面的安全性解决方案,在Web请求级和方法调用级处理身份认证和授权

Spring Security是一个框架,致力于为Java应用程序提供认证和授权,与所有Spring项目一样,SS真正强大之处在于可轻松扩展以满足自定义需求

其安全性体现在两方面:认证和授权,这两个概念并非Spring Security(后续简称SS)独有,只是在SS中可更便捷的完成认证和授权

  1. 认证:确认某主体在某系统中是否合法、可用,此处主体可为登录系统的用户,也可为接入的设备或其他系统 即验证登录 SS集成支持多种认证方式

    1. HTTP BASIC authentication headers:基于IETF RFC的标准

      1. IETF:Internet Engineering Task Force,Internet工程任务组,推动Internet标准规范制定的主要组织

      2. RFC:Request For Comments,请求注解,包含大多数关于Internet的重要文字资料,“网络知识圣经”

    2. LDAP:跨平台身份验证方式

    3. Form-based authentication:简单的用户界面需求

    4. OpenID authentication:去中心化的身份认证方式

    5. Jasig Central Authentication Service:单点登录方案

    6. Kerberos:使用对称密钥机制,允许客户端与服务器相互确认身份的认证协议

  2. 授权:主体通过认证后,是否允许其执行某项操作的过程 即赋予权限,SS支持基于URL对Web的请求授权,方法访问授权,对象访问授权等

SS的特征:

  1. 全面和可扩展的身份认证和授权支持

  2. 防止攻击,例如会话固定、CSRF、点击劫持等

    1. 会话固定:session fixation attack  利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击Spring Security基础理论学习_第1张图片

    2. CSRF:Cross-Site RequestrianForgery,跨站请求伪造,盗用用户的身份对服务器发送恶意请求,预防措施对Http request进行验证

    3. 点击劫持:视觉上的欺骗手段,攻击者使用一个透明的iframe或者用一张图片覆盖网页原有位置的含义,利用用户的手误注入操作,解决方法是HTTP头中禁止X-Frame-Option,检查img中的style

  3. 集成Servlet API

  4. 可选与Spring Web MVC集成

 

入门小程序

1. 使用SpringBoot 的Initializr搭建项目 https://start.spring.io/

1.1 Security作为构建项目的最小依赖

1.2 Web作为构建项目的核心

pom.xml依赖如下:


   org.springframework.boot
   spring-boot-starter-security


   org.springframework.boot
   spring-boot-starter-web

项目的结构图如下:

Spring Security基础理论学习_第2张图片

项目入口如下:

@RestController
@SpringBootApplication
public class SpringsecurityApplication {

   @GetMapping("/")
   public String testHello(){
      return "Hello, spring security";
   }

   public static void main(String[] args) {
      SpringApplication.run(SpringsecurityApplication.class, args);
   }

}

2. 如果不配置用户名和密码,系统默认登录用户名为user,密码为动态生成并打印到控制台的一串随机码

3. 如果配置用户名和密码,使用配置的用户名和密码进行认证

// application.properties
spring.security.user.name=wx
spring.security.user.password=ciery123

4. 实际中绝大多数Web应用不会使用HTTP基本认证这种方式,灵活性不足、安全性差、无法携带cookie。基本更倾向于选择表单认证,自己实现表单的登录页和验证逻辑从而提高安全性

 

基于表单的用户认证

1. 使用默认表单认证

1. SS支持HTTP基本认证和Form表单认证,如果不进行自定义配置只是单纯继承默认配置的话,SS默认使用Form表单认证

@EnableWebSecurity // 自带@Configuration,此处无需再加@Configutaion注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
    }
}

2. 重新运行程序,输入hello请求,自动跳转SS默认的login界面,输入用户名和密码,系统进行验证

  1. 如果认证成功则后端直接调回hello请求页面Spring Security基础理论学习_第3张图片
  2. 如果认证失败,前端提示用户名或密码错误Spring Security基础理论学习_第4张图片

2. 自定义表单登录页

1. 自定义http配置,配置loginPage,手动编写登录页面并放行登录页面,除开登录页面都需要进行认证(登录页面本身就是进行认证工作,如果还不给放行就离谱了)

@EnableWebSecurity // 自带@Configuration,此处无需再加@Configutaion注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Override
    protected void configure(HttpSecurity http) throws Exception {
//        super.configure(http);
       // 自定义登录配置
        // authorizeRequests()方法返回一个URL拦截注册器,可调用其提供的anyRequest(),antMatchers()等方法匹配系统给的URL并为其制定安全策略
        http.authorizeRequests()
                // 任意一个http请求都会进行认证
                .anyRequest().authenticated()
                .and()
                // 设置表单验证登录
                .formLogin()
                // 自定义表单登录页 Security会用这个html注册一个POST路由,用于接收登录请求
                .loginPage("/login.html")
                // 设置登录页不设置访问限制,即登录页不用进行拦截
                .permitAll()
                .and()
                // 禁止csrf攻击
                .csrf().disable();
    }
}

2. 编写login.html静态页面,放在resources/static目录下




    
    login

3. 启动项目后,访问/hello资源跳转编写的login.html静态页面,提交用户名和密码,框架进行身份认证。如果认证成功则跳回/hello请求页面继续完成HTTP请求

Spring Security基础理论学习_第5张图片

4. 可指定处理登录请求的路径

4.1 如果需要自定义login的url,可以使用loginProcessingUrl进行配置

@EnableWebSecurity // 自带@Configuration,此处无需再加@Configutaion注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Override
    protected void configure(HttpSecurity http) throws Exception {
//        super.configure(http);
       // 自定义登录配置
        // authorizeRequests()方法返回一个URL拦截注册器,可调用其提供的anyRequest(),antMatchers()等方法匹配系统给的URL并为其制定安全策略
        http.authorizeRequests()
                // 任意一个http请求都会进行认证
                .anyRequest().authenticated()
                .and()
                // 设置表单验证登录
                .formLogin()
                // 自定义表单登录页 Security会用这个html注册一个POST路由,用于接收登录请求
                .loginPage("/login.html")
                // 指定处理登录请求的路径
                .loginProcessingUrl("/login")
                // 设置登录页不设置访问限制,即登录页不用进行拦截
                .permitAll()
                .and()
                // 禁止csrf攻击
                .csrf().disable();
    }
}

4.2 login.html中需要修改action,url由/login.html改为自定义的"login"或"/login"

4.3 用户输入用户名和密码后,跳转自定义的认证路径完成认证 可以看到第3点中是login.html,此处已经被定义为login

Spring Security基础理论学习_第6张图片

5. 可自定义处理认证成功/失败

目前认证成功后,是由后端直接跳转返回之前访问的请求页面,但如果前后端完全分离的话仅靠JSON交互的系统中,这个是行不通的。这就需要后端在认证成功/失败后传给前端一个JSON,告诉前端目前登录认证的返回结果,前端根据这个结果进行相应的处理

可自定义实现SS自带的AuthenticationSuccessHandler和AuthenticationFailureHandler,利用HttpServletResponse对象将结果json反馈到页面上(后续前端是可以直接捕获这个json么?还是说需要后端调整将json传给前端?

@EnableWebSecurity // 自带@Configuration,此处无需再加@Configutaion注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Override
    protected void configure(HttpSecurity http) throws Exception {
//        super.configure(http);
       // 自定义登录配置
        // authorizeRequests()方法返回一个URL拦截注册器,可调用其提供的anyRequest(),antMatchers()等方法匹配系统给的URL并为其制定安全策略
        http.authorizeRequests()
                // 任意一个http请求都会进行认证
                .anyRequest().authenticated()
                .and()
                // 设置表单验证登录
                .formLogin()
                // 自定义表单登录页 Security会用这个html注册一个POST路由,用于接收登录请求
                .loginPage("/login.html")
                // 指定处理登录请求的路径url
                .loginProcessingUrl("/login")
                // 指定登录成功时的处理逻辑 登录成功后后端传递json给前端,然后前端再处理,而非默认后端让其直接调回原页面
                .successHandler(new getAuthenticationSuccessHandler())
                .failureHandler(new getAuthenticationFailureHandler())
                // 设置登录页不设置访问限制,即登录页不用进行拦截
                .permitAll()
                .and()
                // 禁止csrf攻击
                .csrf().disable();
    }


    /**
     * 创建实现AuthenticationSuccessHandler认证成功处理器类
     */
    private class getAuthenticationSuccessHandler implements AuthenticationSuccessHandler{
            @Override
            public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                httpServletResponse.setContentType("application/json;charset=utf-8");
                // 构造json "key" : "value"
                httpServletResponse.getWriter().write("{\"error_code\":\"0\",\"message\":\"welcome\"}");
                httpServletResponse.sendRedirect("/hello");
            }
        }


    /**
     * 创建实现AuthenticationFailureHandler认证失败处理器类 由于两个处理器类只有一个方法,可以使用匿名内部类直接在configure方法中重写成功/失败的处理
     */
    private class getAuthenticationFailureHandler implements AuthenticationFailureHandler{
            @Override
            public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
            httpServletResponse.setContentType("application/json;charset=utf-8");
            // 401表示未登录
            httpServletResponse.setStatus(401);
            httpServletResponse.getWriter().write("{\"error_code\":\"401\",\"name\": \"" + e.getClass() + "\",\"message\":\"" + e.getMessage() + "\"}");
        }
    }
}

当然由于两个Handler只有一个方法,可以使用匿名内部类来实现对接口的重写

@EnableWebSecurity // 自带@Configuration,此处无需再加@Configutaion注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Override
    protected void configure(HttpSecurity http) throws Exception {
//        super.configure(http);
       // 自定义登录配置
        // authorizeRequests()方法返回一个URL拦截注册器,可调用其提供的anyRequest(),antMatchers()等方法匹配系统给的URL并为其制定安全策略
        http.authorizeRequests()
                // 任意一个http请求都会进行认证
                .anyRequest().authenticated()
                .and()
                // 设置表单验证登录
                .formLogin()
                // 自定义表单登录页 Security会用这个html注册一个POST路由,用于接收登录请求
                .loginPage("/login.html")
                // 指定处理登录请求的路径
                .loginProcessingUrl("/login")
                // 指定登录成功时的处理逻辑 登录成功后后端传递json给前端,然后前端再处理,而非默认后端让其直接调回原页面
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        // 构造json "key" : "value"
                        httpServletResponse.getWriter().write("{\"error_code\":\"0\",\"message\":\"welcome\"}");
                        httpServletResponse.sendRedirect("/hello");
                    }
                })
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        // 401表示未登录
                        httpServletResponse.setStatus(401);
                        httpServletResponse.getWriter().write("{\"error_code\":\"401\",\"name\": \"" + e.getClass() + "\",\"message\":\"" + e.getMessage() + "\"}");
                    }
                })
                // 设置登录页不设置访问限制,即登录页不用进行拦截
                .permitAll()
                .and()
                // 禁止csrf攻击
                .csrf().disable();
    }

5.1 如果认证成功,返回信息到前端并跳转hello页面

Spring Security基础理论学习_第7张图片

5.2 如果认证失败,返回错误提示信息到前端

Spring Security基础理论学习_第8张图片

5.3 在successHandler中参数包含Authentication参数,携带当前登录的用户名和角色信息,可以根据需求进行处理,例如此处如果登录成功打印用户名

    /**
     * 创建实现AuthenticationSuccessHandler认证成功处理器类
     */
    private class getAuthenticationSuccessHandler implements AuthenticationSuccessHandler{
            @Override
            public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                httpServletResponse.setContentType("application/json;charset=utf-8");
                // 构造json "key" : "value" 注意 + 拼接的时候左右要加 \"
                httpServletResponse.getWriter().write("{\"error_code\":\"0\",\"message\":\"welcome, \"" + ((UserDetails)authentication.getPrincipal()).getUsername() + "\"}");
                // 最好后端不进行页面跳转,否则会覆盖json,直接返回json给前端,前端根据json信息进行处理即可

//                httpServletResponse.sendRedirect("/hello");
            }
        }

Spring Security基础理论学习_第9张图片

基于数据库的用户认证和授权

前提

1. 配置三个访问controller接口,其中user接口只可具有user权限的用户访问,admin接口只可具有admin权限的用户访问

@RestController
@RequestMapping("/app")
public class AppController {


    @GetMapping("/testApp")
    public String testApp(){
        return "hello,app";
    }
}

@RestController
@RequestMapping("/user")
public class UserController {


    @GetMapping("/testUser")
    public String testUser(){
        return "hello,user";
    }
}

@RestController
@RequestMapping("/admin")
public class AdminController {


    @GetMapping("/testAdmin")
    public String testAdmin(){
        return "hello,admin";
    }
}

2. 根据访问权限限制配置configure,使用antMatchers,填写需要访问的controller的url,添加访问角色验证

protected void configure(HttpSecurity http) throws Exception {
       // 自定义登录配置
        // authorizeRequests()方法返回一个URL拦截注册器,可调用其提供的anyRequest(),antMatchers()等方法匹配系统给的URL并为其制定安全策略
        http.authorizeRequests()
                /* antMatchers是一个采用ANT模式的URL匹配器
                    ?匹配任意单个字符
                    *匹配0或任意数量的字符
                    **匹配0或更多的目录
                    .antMatchers("/app/**") 相当于匹配/app/下所有的API
                    permitAll()表示公开权限
                    hasRole("role_name")限定只有方法参数role_name角色的用户才可访问
                */
                .antMatchers("/app/**").permitAll()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                // 任意一个http请求都会进行认证
                .anyRequest().authenticated()
                .and()
                // 设置表单验证登录
                .formLogin()
                // 自定义表单登录页 Security会用这个html注册一个POST路由,用于接收登录请求
                .loginPage("/login.html")
                // 指定处理登录请求的路径
                .loginProcessingUrl("/login")
                // 设置登录页不设置访问限制,即登录页不用进行拦截
                .permitAll()
                .and()
                // 禁止csrf攻击
                .csrf().disable();
    }

3. 注意注释掉前面在application.properties中添加的默认username和password 开始创建多用户支持,分为基于内存、基于SS自带的JDBC数据库模型、基于自定义的数据库模型

1. 基于内存的多用户支持

由于基于内存所以每次重启项目内存被清空,用户都会重新创建。重启项目,user用户可以进入user/testUser,访问admin/testAdmin显示403错误

  1. 2xx:访问成功

  2. 4xx:浏览器错误 401未登录 403无权限 404无页面

  3. 5xx:服务器错误

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    // 使用明文,不对密码进行加密处理
    auth.inMemoryAuthentication().passwordEncoder(NoOpPasswordEncoder.getInstance())
    .withUser("user").password("123456").roles("USER")
    .and()
    .withUser("admin").password("123456").roles("ADMIN");
}

2. 基于数据库的多用户支持

由于数据库的主键限制,创建过的用户不可再通过configure自动创建(主键冲突)即重启项目就会报错。所以需要进行用户是否存在验证,如果存在则不作任何处理;不存在则创建

2.1 添加数据库依赖

//pom.xml


   org.springframework.boot
   spring-boot-starter-jdbc


   mysql
   mysql-connector-java

2.2 根据框架定义的数据表要求创建users和authorities表,唯一索引的作用是加快查询

Spring Security基础理论学习_第10张图片Spring Security基础理论学习_第11张图片Spring Security基础理论学习_第12张图片Spring Security基础理论学习_第13张图片

2.3 添加数据库连接信息

// application.properties 配置数据库连接信息
spring.datasource.url=jdbc:mysql://localhost:3306/springsecuritydemo?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone=GMT
spring.datasource.username=root
spring.datasource.password=root

2.4 创建用户信息

// WebSecurityConfig
@EnableWebSecurity // 自带@Configuration,此处无需再加@Configutaion注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    DataSource dataSource;


    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 使用明文,不对密码进行加密处理
        // getUserDetailsService()方法从spring容器中获取jdbcManager
        auth.jdbcAuthentication().dataSource(dataSource).passwordEncoder(NoOpPasswordEncoder.getInstance()).getUserDetailsService();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
       // 自定义登录配置
        // authorizeRequests()方法返回一个URL拦截注册器,可调用其提供的anyRequest(),antMatchers()等方法匹配系统给的URL并为其制定安全策略
        http.authorizeRequests()
                .antMatchers("/app/**").permitAll()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                // 任意一个http请求都会进行认证
                .anyRequest().authenticated()
                .and()
                // 设置表单验证登录
                .formLogin()
                // 自定义表单登录页 Security会用这个html注册一个POST路由,用于接收登录请求
                .loginPage("/login.html")
                // 指定处理登录请求的路径
                .loginProcessingUrl("/login")
                // 设置登录页不设置访问限制,即登录页不用进行拦截
                .permitAll()
                .and()
                // 禁止csrf攻击
                .csrf().disable();
    }

    @Bean
    public UserDetailsService userDetailsService(){
        JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
        manager.setDataSource(dataSource);
        // 创建用户
        // 如果user存在则不作任何操作,如果不存在则创建用户,底层调用insert into users(usernmae,password,enable) values(?,?,?); 如果有role则调用insert into authorities (username, authority) values (?,?)
        if(!manager.userExists("user")){
            // User对象通过withUsername,password等方法给其赋值
            manager.createUser(User.withUsername("user").password("123456").roles("USER").build());
        }
        if(!manager.userExists("admin")){
            manager.createUser(User.withUsername("admin").password("123456").roles("ADMIN").build());
        }
        return manager;
    }
}

2.5 自动插入到users和authorites表中的数据

Spring Security基础理论学习_第14张图片Spring Security基础理论学习_第15张图片

拓展:数据能插入到数据库的原因:底层调用了JdbcTemplate类的相关insert/update方法将配置中的数据插入到数据表中

// JdbcUserDetailsManager

    private String createUserSql = "insert into users (username, password, enabled) values (?,?,?)";
    private String createAuthoritySql = "insert into authorities (username, authority) values (?,?)";


    public void createUser(UserDetails user) {
        this.validateUserDetails(user);
        this.getJdbcTemplate().update(this.createUserSql, (ps) -> {
            ps.setString(1, user.getUsername());
            ps.setString(2, user.getPassword());
            ps.setBoolean(3, user.isEnabled());
            int paramCount = ps.getParameterMetaData().getParameterCount();
            if (paramCount > 3) {
                ps.setBoolean(4, !user.isAccountNonLocked());
                ps.setBoolean(5, !user.isAccountNonExpired());
                ps.setBoolean(6, !user.isCredentialsNonExpired());
            }

        });
        if (this.getEnableAuthorities()) {
            this.insertUserAuthorities(user);
        }

    }

    private void insertUserAuthorities(UserDetails user) {
        Iterator var2 = user.getAuthorities().iterator();

        while(var2.hasNext()) {
            GrantedAuthority auth = (GrantedAuthority)var2.next();
            this.getJdbcTemplate().update(this.createAuthoritySql, new Object[]{user.getUsername(), auth.getAuthority()});
        }

    }

3. 自定义数据库模型

自定义UserDetails实现类User,然后自行通过UserServiceImpl类的loadByUsername方法进行登录认证

3.1 设计数据库user

Spring Security基础理论学习_第16张图片
3.2 添加mybatis依赖和自动映射mybatis-generator插件

// pom.xml



   org.mybatis.spring.boot
   mybatis-spring-boot-starter
   2.1.3



    
      org.mybatis.generator
      mybatis-generator-maven-plugin
      1.3.2
      
         
         true
         
         true
         
         src/main/resources/mybatis-generator.xml
      
      
         
            mysql
            mysql-connector-java
            8.0.17

3.3 创建映射配置文件并生成实体类User、Dao层UserMapper类、数据库映射文件UserMapper.xml

3.3.1 创建jdbc.properties添加数据库连接信息,之前的application.properties中的可以删去

// jdbc.properties

jdbc.driver=com.mysql.cj.jdbc.Driver
jdbc.url=jdbc:mysql://localhost:3306/springsecuritydemo?useUnicode=true&characterEncoding=utf8&useSSL=false&serverTimezone=GMT
jdbc.username=root
jdbc.password=root

3.3.2 mybatis-generator.xml

// mybatis-generator.xml

3.3.3 application.properties中添加mapper类的映射对应位置

// application.properties

#配置mybatis(相当于普通MyBatis中的SqlMapConfig.xml主配置文件中指定映射配置文件的地址和别称) 不配置会绑定数据失败,运行时无法找到mapper类下的方法(编译不报错,将实体bean加入spring容器后 解耦的效果)
mybatis.mapper-locations=classpath:/mapper/*.xml
mybatis.type-aliases-package= com.practice.mall.domain
mybatis.configuration.map-underscore-to-camel-case=true
mybatis.configuration.use-generated-keys=true
mybatis.configuration.cache-enabled=false

3.3.4 开启mapper类的扫描

@MapperScan("com.practice.springsecurity.mapper")
@SpringBootApplication
public class SpringsecurityApplication {
	public static void main(String[] args) {
		SpringApplication.run(SpringsecurityApplication.class, args);
	}

}

3.4 实体类User实现UserDetails并添加List类型的GrantAuthority权限集属性

public class User implements UserDetails {
    private Long id;


    private String username;


    private String password;


    private Boolean enabled;


    private String roles;


    //权限
    private List authorities;


    public void setAuthorities(List authorities) {
        this.authorities = authorities;
    }


    public Long getId() {
        return id;
    }


    public void setId(Long id) {
        this.id = id;
    }


    public String getUsername() {
        return username;
    }


    @Override
    public boolean isAccountNonExpired() {
        return true;
    }


    @Override
    public boolean isAccountNonLocked() {
        return true;
    }


    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }


    @Override
    public boolean isEnabled() {
        return this.enabled;
    }


    public void setUsername(String username) {
        this.username = username == null ? null : username.trim();
    }


    @Override
    public Collection getAuthorities() {
        return this.authorities;
    }


    public String getPassword() {
        return password;
    }


    public void setPassword(String password) {
        this.password = password == null ? null : password.trim();
    }


    public Boolean getEnabled() {
        return enabled;
    }


    public void setEnabled(Boolean enabled) {
        this.enabled = enabled;
    }


    public String getRoles() {
        return roles;
    }


    public void setRoles(String roles) {
        this.roles = roles == null ? null : roles.trim();
    }
}

3.5 创建UserDetailsServiceImpl实现框架自带的UserDetailsService接口,重写loadByUsername方法

@Service //加入spring容器
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    UserMapper userMapper;


    /**
     * 根据username进行用户认证
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 从数据库中根据username查找用户
        User user = userMapper.selectByUsername(username);
        // 验证user是否存在
        if(user != null){
            // 将数据库中的role解析为权限集
            // AuthorityUtils.commaSeparatedStringToAuthorityList可将用逗号隔开的权限集字符串切割成可用的权限对象列表
            // 也可自定义实现切分方式,同步user表中的roles字段
            user.setAuthorities(AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRoles()));
            return user;
        }
        // 用户不存在
        throw new UsernameNotFoundException("用户不存在");
    }
}

3.6 在WebSecurityConfig配置类中将自定义的认证方式注入框架的authbuilder对象

@EnableWebSecurity // 自带@Configuration,此处无需再加@Configutaion注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    DataSource dataSource;
    @Autowired
    UserDetailsServiceImpl userDetailsServiceImpl;


    /**
     * 建立身份认证方式 AuthenticationManagerBuilder创建一个AuthenticationManager用于进行身份认证
     * 包括:内存验证、LDAP验证、基于JDBC的验证、添加UserDetailsService、添加AuthenticationProvider
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 使用明文,不对密码进行加密处理
        auth.userDetailsService(userDetailsServiceImpl).passwordEncoder(NoOpPasswordEncoder.getInstance());
    }

    /**
     * 开启认证 配置需要认证的url
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
//        super.configure(http);
       // 自定义登录配置
        // authorizeRequests()方法返回一个URL拦截注册器,可调用其提供的anyRequest(),antMatchers()等方法匹配系统给的URL并为其制定安全策略
        http.authorizeRequests()
                .antMatchers("/app/**").permitAll()
                // 限制既有ADMIN又有USER的用户访问
                .antMatchers("/admin/**").access("hasRole('ADMIN') and hasRole('USER')")
                .antMatchers("/user/**").hasRole("USER")
                // 任意一个http请求都会进行认证
                .anyRequest().authenticated()
                .and()
                // 设置表单验证登录
                .formLogin()
                // 自定义表单登录页 Security会用这个html注册一个POST路由,用于接收登录请求
                .loginPage("/login.html")
                // 指定处理登录请求的路径
                .loginProcessingUrl("/login")
                // 设置登录页不设置访问限制,即登录页不用进行拦截
                .permitAll()
                .and()
                // 禁止csrf攻击
                .csrf().disable();
    }

3.7 数据库user表中添加测试数据

Spring Security基础理论学习_第17张图片

3.8 测试

3.8.1 user登录admin/testAdmin,根据username从数据库获取user对象,并获取其roles匹配这个url需要的角色匹配不成功,则用户user登录成功但是无权限显示403

Spring Security基础理论学习_第18张图片

3.8.2 user登录user/testUesr,根据username从数据库获取user对象,并获取其roles匹配这个url需要的角色信息匹配成功,则用户user登录成功并可访问这个url

Spring Security基础理论学习_第19张图片

拓展

数据表user的roles字段添加ROLE_前缀,但是配置类configure中hasRole("USER")方法没有使用前缀的原因:

查看hasRole处理逻辑,本身自带了ROLE_,将hasRole方法的参数拼接ROLE_然后和loadByUsername获取的user对象的authority进行匹配,如果匹配成功则该用户有权限放行;否则无权限显示403错误 (即存在可以登录但是无权限的情况)

// ExpressionUrlAuthorizationConfigurer

private static String hasRole(String role) {
    Assert.notNull(role, "role cannot be null");
    if (role.startsWith("ROLE_")) {
        throw new IllegalArgumentException("role should not start with 'ROLE_' since it is automatically inserted. Got '" + role + "'");
    } else {
        return "hasRole('ROLE_" + role + "')";
    }
}

 

总结

模拟使用场景,模拟面试环节多问几个为什么,培养看源码的良好习惯,学习大佬们的编程风格

你可能感兴趣的:(后端开发,Spring,Security学习,java,spring,security)

  • 情绪觉察日记第37天 露露_e800
    今天是家庭关系规划师的第二阶最后一天,慧萍老师帮我做了个案,帮我处理了埋在心底好多年的一份恐惧,并给了我深深的力量!这几天出来学习,爸妈过来婆家帮我带小孩,妈妈出于爱帮我收拾东西,并跟我先生和婆婆产生矛盾,妈妈觉得他们没有照顾好我…。今晚回家见到妈妈,我很欣赏她并赞扬她,妈妈说今晚要跟我睡我说好,当我们俩躺在床上准备睡觉的时候,我握着妈妈的手对她说:妈妈这几天辛苦你了,你看你多利害把我们的家收拾得
  • 机器学习与深度学习间关系与区别 ℒℴѵℯ心·动ꦿ໊ོ꫞ 人工智能学习深度学习python
    一、机器学习概述定义机器学习(MachineLearning,ML)是一种通过数据驱动的方法,利用统计学和计算算法来训练模型,使计算机能够从数据中学习并自动进行预测或决策。机器学习通过分析大量数据样本,识别其中的模式和规律,从而对新的数据进行判断。其核心在于通过训练过程,让模型不断优化和提升其预测准确性。主要类型1.监督学习(SupervisedLearning)监督学习是指在训练数据集中包含输入
  • 铭刻于星(四十二) 随风至
    69夜晚,绍敏同学做完功课后,看了眼房外,没听到动静才敢从书包的夹层里拿出那个心形纸团。折痕压得很深,都有些旧了,想来是已经写好很久了。绍敏同学慢慢地、轻轻地捏开折叠处,待到全部拆开后,又反复抚平纸张,然后仔细地一字字默看。只是开头的三个字是第一次看到,让她心漏跳了几拍。“亲爱的绍敏:从四年级的时候,我就喜欢你了,但是我一直不敢说,怕影响你学习。六年级的时候听说有人跟你表白,你接受了,我很难过,但
  • UI学习——cell的复用和自定义cell Magnetic_h ui学习
    目录cell的复用手动(非注册)自动(注册)自定义cellcell的复用在iOS开发中,单元格复用是一种提高表格(UITableView)和集合视图(UICollectionView)滚动性能的技术。当一个UITableViewCell或UICollectionViewCell首次需要显示时,如果没有可复用的单元格,则视图会创建一个新的单元格。一旦这个单元格滚动出屏幕,它就不会被销毁。相反,它被添
  • 学点心理知识,呵护孩子健康 静候花开_7090
    昨天听了华中师范大学教育管理学系副教授张玲老师的《哪里才是学生心理健康的最后庇护所,超越教育与技术的思考》的讲座。今天又重新学习了一遍,收获匪浅。张玲博士也注意到了当今社会上的孩子由于心理问题导致的自残、自杀及伤害他人等恶性事件。她向我们普及了一个重要的命题,她说心理健康的一些基本命题,我们与我们通常的一些教育命题是不同的,她还举了几个例子,让我们明白我们原来以为的健康并非心理学上的健康。比如如果
  • Long类型前后端数据不一致 igotyback 前端
    响应给前端的数据浏览器控制台中response中看到的Long类型的数据是正常的到前端数据不一致前后端数据类型不匹配是一个常见问题,尤其是当后端使用Java的Long类型(64位)与前端JavaScript的Number类型(最大安全整数为2^53-1,即16位)进行数据交互时,很容易出现精度丢失的问题。这是因为JavaScript中的Number类型无法安全地表示超过16位的整数。为了解决这个问
  • LocalDateTime 转 String igotyback java开发语言
    importjava.time.LocalDateTime;importjava.time.format.DateTimeFormatter;publicclassMain{publicstaticvoidmain(String[]args){//获取当前时间LocalDateTimenow=LocalDateTime.now();//定义日期格式化器DateTimeFormatterformat
  • Linux下QT开发的动态库界面弹出操作(SDL2) 13jjyao QT类qt开发语言sdl2linux
    需求:操作系统为linux,开发框架为qt,做成需带界面的qt动态库,调用方为java等非qt程序难点:调用方为java等非qt程序,也就是说调用方肯定不带QApplication::exec(),缺少了这个,QTimer等事件和QT创建的窗口将不能弹出(包括opencv也是不能弹出);这与qt调用本身qt库是有本质的区别的思路:1.调用方缺QApplication::exec(),那么我们在接口
  • ArcGIS栅格计算器常见公式(赋值、0和空值的转换、补充栅格空值) 研学随笔 arcgis经验分享
    我们在使用ArcGIS时通常经常用到栅格计算器,今天主要给大家介绍我日常中经常用到的几个公式,供大家参考学习。将特定值(-9999)赋值为0,例如-9999.Con("raster"==-9999,0,"raster")2.给空值赋予特定的值(如0)Con(IsNull("raster"),0,"raster")3.将特定的栅格值(如1)赋值为空值,其他保留原值SetNull("raster"==
  • 【一起学Rust | 设计模式】习惯语法——使用借用类型作为参数、格式化拼接字符串、构造函数 广龙宇 一起学Rust#Rust设计模式rust设计模式开发语言
    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录前言一、使用借用类型作为参数二、格式化拼接字符串三、使用构造函数总结前言Rust不是传统的面向对象编程语言,它的所有特性,使其独一无二。因此,学习特定于Rust的设计模式是必要的。本系列文章为作者学习《Rust设计模式》的学习笔记以及自己的见解。因此,本系列文章的结构也与此书的结构相同(后续可能会调成结构),基本上分为三个部分
  • 回溯 Leetcode 332 重新安排行程 mmaerd Leetcode刷题学习记录leetcode算法职场和发展
    重新安排行程Leetcode332学习记录自代码随想录给你一份航线列表tickets,其中tickets[i]=[fromi,toi]表示飞机出发和降落的机场地点。请你对该行程进行重新规划排序。所有这些机票都属于一个从JFK(肯尼迪国际机场)出发的先生,所以该行程必须从JFK开始。如果存在多种有效的行程,请你按字典排序返回最小的行程组合。例如,行程[“JFK”,“LGA”]与[“JFK”,“LGB
  • Python数据分析与可视化实战指南 William数据分析 pythonpython数据
    在数据驱动的时代,Python因其简洁的语法、强大的库生态系统以及活跃的社区,成为了数据分析与可视化的首选语言。本文将通过一个详细的案例,带领大家学习如何使用Python进行数据分析,并通过可视化来直观呈现分析结果。一、环境准备1.1安装必要库在开始数据分析和可视化之前,我们需要安装一些常用的库。主要包括pandas、numpy、matplotlib和seaborn等。这些库分别用于数据处理、数学
  • 2019-12-22-22:30 涓涓1016
    今天是冬至,写下我的日更,是因为这两天的学习真的是能量的满满,让我看到了自己,未来另外一种可能性,也让我看到了这两年这几年的过程中我所接受那些痛苦的来源。一切的根源和痛苦都来自于人生,家庭,而你的原生家庭,你的爸爸和妈妈,是因为你这个灵魂在那一刻选择他们作为你的爸爸和妈妈来的,所以你得接受他,你得接纳他,他就是因为他的存在而给你的学习和成长带来这些痛苦,那其实是你必然要经历的这个过程,当你去接纳的
  • 将cmd中命令输出保存为txt文本文件 落难Coder Windowscmdwindow
    最近深度学习本地的训练中我们常常要在命令行中运行自己的代码,无可厚非,我们有必要保存我们的炼丹结果,但是复制命令行输出到txt是非常麻烦的,其实Windows下的命令行为我们提供了相应的操作。其基本的调用格式就是:运行指令>输出到的文件名称或者具体保存路径测试下,我打开cmd并且ping一下百度:pingwww.baidu.com>./data.txt看下相同目录下data.txt的输出:如果你再
  • 使用 FinalShell 进行远程连接(ssh 远程连接 Linux 服务器) 编程经验分享 开发工具服务器sshlinux
    目录前言基本使用教程新建远程连接连接主机自定义命令路由追踪前言后端开发,必然需要和服务器打交道,部署应用,排查问题,查看运行日志等等。一般服务器都是集中部署在机房中,也有一些直接是云服务器,总而言之,程序员不可能直接和服务器直接操作,一般都是通过ssh连接来登录服务器。刚接触远程连接时,使用的是XSHELL来远程连接服务器,连接上就能够操作远程服务器了,但是仅用XSHELL并没有上传下载文件的功能
  • 四章-32-点要素的聚合 彩云飘过
    本文基于腾讯课堂老胡的课《跟我学Openlayers--基础实例详解》做的学习笔记,使用的openlayers5.3.xapi。源码见1032.html,对应的官网示例https://openlayers.org/en/latest/examples/cluster.htmlhttps://openlayers.org/en/latest/examples/earthquake-clusters.
  • DIV+CSS+JavaScript技术制作网页(旅游主题网页设计与制作)云南大理 STU学生网页设计 网页设计期末网页作业html静态网页html5期末大作业网页设计web大作业
    ️精彩专栏推荐作者主页:【进入主页—获取更多源码】web前端期末大作业:【HTML5网页期末作业(1000套)】程序员有趣的告白方式:【HTML七夕情人节表白网页制作(110套)】文章目录二、网站介绍三、网站效果▶️1.视频演示2.图片演示四、网站代码HTML结构代码CSS样式代码五、更多源码二、网站介绍网站布局方面:计划采用目前主流的、能兼容各大主流浏览器、显示效果稳定的浮动网页布局结构。网站程
  • 【华为OD机试真题2023B卷 JAVA&JS】We Are A Team 若博豆 java算法华为javascript
    华为OD2023(B卷)机试题库全覆盖,刷题指南点这里WeAreATeam时间限制:1秒|内存限制:32768K|语言限制:不限题目描述:总共有n个人在机房,每个人有一个标号(1<=标号<=n),他们分成了多个团队,需要你根据收到的m条消息判定指定的两个人是否在一个团队中,具体的:1、消息构成为:abc,整数a、b分别代
  • GitHub上克隆项目 bigbig猩猩 github
    从GitHub上克隆项目是一个简单且直接的过程,它允许你将远程仓库中的项目复制到你的本地计算机上,以便进行进一步的开发、测试或学习。以下是一个详细的步骤指南,帮助你从GitHub上克隆项目。一、准备工作1.安装Git在克隆GitHub项目之前,你需要在你的计算机上安装Git工具。Git是一个开源的分布式版本控制系统,用于跟踪和管理代码变更。你可以从Git的官方网站(https://git-scm.
  • 关于城市旅游的HTML网页设计——(旅游风景云南 5页)HTML+CSS+JavaScript 二挡起步 web前端期末大作业javascripthtmlcss旅游风景
    ⛵源码获取文末联系✈Web前端开发技术描述网页设计题材,DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业|游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作|HTML期末大学生网页设计作业,Web大学生网页HTML:结构CSS:样式在操作方面上运用了html5和css3,采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScrip
  • HTML网页设计制作大作业(div+css) 云南我的家乡旅游景点 带文字滚动 二挡起步 web前端期末大作业web设计网页规划与设计htmlcssjavascriptdreamweaver前端
    Web前端开发技术描述网页设计题材,DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作HTML期末大学生网页设计作业HTML:结构CSS:样式在操作方面上运用了html5和css3,采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScript:做与用户的交互行为文章目录前端学习路线
  • Day1笔记-Python简介&标识符和关键字&输入输出 ~在杰难逃~ Pythonpython开发语言大数据数据分析数据挖掘
    大家好,从今天开始呢,杰哥开展一个新的专栏,当然,数据分析部分也会不定时更新的,这个新的专栏主要是讲解一些Python的基础语法和知识,帮助0基础的小伙伴入门和学习Python,感兴趣的小伙伴可以开始认真学习啦!一、Python简介【了解】1.计算机工作原理编程语言就是用来定义计算机程序的形式语言。我们通过编程语言来编写程序代码,再通过语言处理程序执行向计算机发送指令,让计算机完成对应的工作,编程
  • 人工智能时代,程序员如何保持核心竞争力? jmoych 人工智能
    随着AIGC(如chatgpt、midjourney、claude等)大语言模型接二连三的涌现,AI辅助编程工具日益普及,程序员的工作方式正在发生深刻变革。有人担心AI可能取代部分编程工作,也有人认为AI是提高效率的得力助手。面对这一趋势,程序员应该如何应对?是专注于某个领域深耕细作,还是广泛学习以适应快速变化的技术环境?又或者,我们是否应该将重点转向AI无法轻易替代的软技能?让我们一起探讨程序员
  • node.js学习 小猿L node.jsnode.js学习vim
    node.js学习实操及笔记温故node.js,node.js学习实操过程及笔记~node.js学习视频node.js官网node.js中文网实操笔记githubcsdn笔记为什么学node.js可以让别人访问我们编写的网页为后续的框架学习打下基础,三大框架vuereactangular离不开node.jsnode.js是什么官网:node.js是一个开源的、跨平台的运行JavaScript的运行
  • 阶段总结反思 轻争
    马上就要进入10月份了,今天做一下前段时间的总结和反思。前段时间,日更、英语、健身、护肤坚持的比较好。阅读、书法坚持的不好。1.中间被迫停更半个多月,其余时间一直在坚持日更挑战。偶尔也有不想写的时候,就做一下摘抄。因为阅读(输入)没跟上来,所以写作(输出)质量有待进一步加强。2.英语做到了一周至少学习5天,每次不少于30分钟,但是小班课没有跟上更新速度,下一步要争取利用零碎时间补听小班课。3.减肥
  • ARM驱动学习之基础小知识 JT灬新一 ARM嵌入式arm开发学习
    ARM驱动学习之基础小知识•sch原理图工程师工作内容–方案–元器件选型–采购(能不能买到,价格)–原理图(涉及到稳定性)•layout画板工程师–layout(封装、布局,布线,log)(涉及到稳定性)–焊接的一部分工作(调试阶段板子的焊接)•驱动工程师–驱动,原理图,layout三部分的交集容易发生矛盾•PCB研发流程介绍–方案,原理图(网表)–layout工程师(gerber文件)–PCB板
  • ARM驱动学习之5 LEDS驱动 JT灬新一 嵌入式C底层arm开发学习单片机
    ARM驱动学习之5LEDS驱动知识点:•linuxGPIO申请函数和赋值函数–gpio_request–gpio_set_value•三星平台配置GPIO函数–s3c_gpio_cfgpin•GPIO配置输出模式的宏变量–S3C_GPIO_OUTPUT注意点:DRIVER_NAME和DEVICE_NAME匹配。实现步骤:1.加入需要的头文件://Linux平台的gpio头文件#include//三
  • ARM驱动学习之4小结 JT灬新一 嵌入式C++arm开发学习linux
    ARM驱动学习之4小结#include#include#include#include#include#defineDEVICE_NAME"hello_ctl123"MODULE_LICENSE("DualBSD/GPL");MODULE_AUTHOR("TOPEET");staticlonghello_ioctl(structfile*file,unsignedintcmd,unsignedlo
  • 展现思维导图魅力,不断挖掘人生宝藏 思维导图讲师Mandy
    第13期最强思维导图训练营已经结束一周了,但是我依旧是感觉所有学员还在努力的学习,这些学员中有教师、学生、白领、公务员、宝妈等等,只要你努力,只要你想改变自己,任何行业,任何岗位都可以参与进来,28天足以让你见成效,在这28天中,我们的学员不仅仅是收获了一枚毕业证,最重要的是让自己的思维方式得到升级,今天的你为自己投资,明天的你就会感谢你今天的付出,我们来听一听来自13期最强思维导图训练营优秀学员
  • 2019-3-23晨间日记 红红火火小耳朵
    今天是什么日子起床:7点40就寝:23点半天气:有太阳,不过一会儿出来一会儿进去特别清爽的凉意,还蛮舒服的心情:小激动要给女朋友过生日啦纪念日:田田女士过生日任务清单昨日完成的任务,最重要的三件事:1.英语一对一2.运动计划3.认真护肤习惯养成:调整状态周目标·完成进度英语七天打卡(5/7)轻课阅读(87/180)音标课(25/30)读书(福尔摩斯一章)学习·信息·阅读#英语课#Cookingte
  • SAX解析xml文件 小猪猪08 xml
    1.创建SAXParserFactory实例 2.通过SAXParserFactory对象获取SAXParser实例 3.创建一个类SAXParserHander继续DefaultHandler,并且实例化这个类 4.SAXParser实例的parse来获取文件     public static void main(String[] args) { //
  • 为什么mysql里的ibdata1文件不断的增长? brotherlamp linuxlinux运维linux资料linux视频linux运维自学
    我们在 Percona 支持栏目经常收到关于 MySQL 的 ibdata1 文件的这个问题。 当监控服务器发送一个关于 MySQL 服务器存储的报警时,恐慌就开始了 —— 就是说磁盘快要满了。 一番调查后你意识到大多数地盘空间被 InnoDB 的共享表空间 ibdata1 使用。而你已经启用了 innodbfileper_table,所以问题是: ibdata1存了什么? 当你启用了 i
  • Quartz-quartz.properties配置 eksliang quartz
    其实Quartz JAR文件的org.quartz包下就包含了一个quartz.properties属性配置文件并提供了默认设置。如果需要调整默认配置,可以在类路径下建立一个新的quartz.properties,它将自动被Quartz加载并覆盖默认的设置。   下面是这些默认值的解释 #-----集群的配置 org.quartz.scheduler.instanceName =
  • informatica session的使用 18289753290 workflowsessionlogInformatica
    如果希望workflow存储最近20次的log,在session里的Config  Object设置,log  options做配置,save  session log :sessions  run  ;savesessio log for  these runs:20 session下面的source 里面有个tracing 
  • Scrapy抓取网页时出现CRC check failed 0x471e6e9a != 0x7c07b839L的错误 酷的飞上天空 scrapy
    Scrapy版本0.14.4 出现问题现象: ERROR: Error downloading <GET http://xxxxx  CRC check failed   解决方法   1.设置网络请求时的header中的属性'Accept-Encoding': '*;q=0'   明确表示不支持任何形式的压缩格式,避免程序的解压
  • java Swing小集锦 永夜-极光 java swing
    1.关闭窗体弹出确认对话框   1.1   this.setDefaultCloseOperation (JFrame.DO_NOTHING_ON_CLOSE);   1.2   this.addWindowListener ( new WindowAdapter () { public void windo
  • 强制删除.svn文件夹 随便小屋 java
              在windows上,从别处复制的项目中可能带有.svn文件夹,手动删除太麻烦,并且每个文件夹下都有。所以写了个程序进行删除。因为.svn文件夹在windows上是只读的,所以用File中的delete()和deleteOnExist()方法都不能将其删除,所以只能采用windows命令方式进行删除
  • GET和POST有什么区别?及为什么网上的多数答案都是错的。 aijuans get post
        如果有人问你,GET和POST,有什么区别?你会如何回答? 我的经历      前几天有人问我这个问题。我说GET是用于获取数据的,POST,一般用于将数据发给服务器之用。     这个答案好像并不是他想要的。于是他继续追问有没有别的区别?我说这就是个名字而已,如果服务器支持,他完全可以把G
  • 谈谈新浪微博背后的那些算法 aoyouzi 谈谈新浪微博背后的那些算法
    本文对微博中常见的问题的对应算法进行了简单的介绍,在实际应用中的算法比介绍的要复杂的多。当然,本文覆盖的主题并不全,比如好友推荐、热点跟踪等就没有涉及到。但古人云“窥一斑而见全豹”,希望本文的介绍能帮助大家更好的理解微博这样的社交网络应用。 微博是一个很多人都在用的社交应用。天天刷微博的人每天都会进行着这样几个操作:原创、转发、回复、阅读、关注、@等。其中,前四个是针对短博文,最后的关注和@则针
  • Connection reset 连接被重置的解决方法 百合不是茶 java字符流连接被重置
    流是java的核心部分,,昨天在做android服务器连接服务器的时候出了问题,就将代码放到java中执行,结果还是一样连接被重置   被重置的代码如下;   客户端代码; package 通信软件服务器; import java.io.BufferedWriter; import java.io.OutputStream; import java.io.O
  • web.xml配置详解之filter bijian1013 javaweb.xmlfilter
    一.定义 <filter> <filter-name>encodingfilter</filter-name> <filter-class>com.my.app.EncodingFilter</filter-class> <init-param> <param-name>encoding<
  • Heritrix Bill_chen 多线程xml算法制造配置管理
    作为纯Java语言开发的、功能强大的网络爬虫Heritrix,其功能极其强大,且扩展性良好,深受热爱搜索技术的盆友们的喜爱,但它配置较为复杂,且源码不好理解,最近又使劲看了下,结合自己的学习和理解,跟大家分享Heritrix的点点滴滴。 Heritrix的下载(http://sourceforge.net/projects/archive-crawler/)安装、配置,就不罗嗦了,可以自己找找资
  • 【Zookeeper】FAQ bit1129 zookeeper
    1.脱离IDE,运行简单的Java客户端程序 #ZkClient是简单的Zookeeper~$ java -cp "./:zookeeper-3.4.6.jar:./lib/*" ZKClient    1. Zookeeper是的Watcher回调是同步操作,需要添加异步处理的代码 2. 如果Zookeeper集群跨越多个机房,那么Leader/
  • The user specified as a definer ('aaa'@'localhost') does not exist 白糖_ localhost
    今天遇到一个客户BUG,当前的jdbc连接用户是root,然后部分删除操作都会报下面这个错误:The user specified as a definer ('aaa'@'localhost') does not exist 最后找原因发现删除操作做了触发器,而触发器里面有这样一句 /*!50017 DEFINER = ''aaa@'localhost' */  原来最初
  • javascript中showModelDialog刷新父页面 bozch JavaScript刷新父页面showModalDialog
    在页面中使用showModalDialog打开模式子页面窗口的时候,如果想在子页面中操作父页面中的某个节点,可以通过如下的进行:       window.showModalDialog('url',self,‘status...’); // 首先中间参数使用self       在子页面使用w
  • 编程之美-买书折扣 bylijinnan 编程之美
    import java.util.Arrays; public class BookDiscount { /**编程之美 买书折扣 书上的贪心算法的分析很有意思,我看了半天看不懂,结果作者说,贪心算法在这个问题上是不适用的。。 下面用动态规划实现。 哈利波特这本书一共有五卷,每卷都是8欧元,如果读者一次购买不同的两卷可扣除5%的折扣,三卷10%,四卷20%,五卷
  • 关于struts2.3.4项目跨站执行脚本以及远程执行漏洞修复概要 chenbowen00 strutsWEB安全
    因为近期负责的几个银行系统软件,需要交付客户,因此客户专门请了安全公司对系统进行了安全评测,结果发现了诸如跨站执行脚本,远程执行漏洞以及弱口令等问题。 下面记录下本次解决的过程以便后续 1、首先从最简单的开始处理,服务器的弱口令问题,首先根据安全工具提供的测试描述中发现应用服务器中存在一个匿名用户,默认是不需要密码的,经过分析发现服务器使用了FTP协议, 而使用ftp协议默认会产生一个匿名用
  • [电力与暖气]煤炭燃烧与电力加温 comsci
          在宇宙中,用贝塔射线观测地球某个部分,看上去,好像一个个马蜂窝,又像珊瑚礁一样,原来是某个国家的采煤区.....       不过,这个采煤区的煤炭看来是要用完了.....那么依赖将起燃烧并取暖的城市,在极度严寒的季节中...该怎么办呢?   &nbs
  • oracle O7_DICTIONARY_ACCESSIBILITY参数 daizj oracle
    O7_DICTIONARY_ACCESSIBILITY参数控制对数据字典的访问.设置为true,如果用户被授予了如select any table等any table权限,用户即使不是dba或sysdba用户也可以访问数据字典.在9i及以上版本默认为false,8i及以前版本默认为true.如果设置为true就可能会带来安全上的一些问题.这也就为什么O7_DICTIONARY_ACCESSIBIL
  • 比较全面的MySQL优化参考 dengkane mysql
    本文整理了一些MySQL的通用优化方法,做个简单的总结分享,旨在帮助那些没有专职MySQL DBA的企业做好基本的优化工作,至于具体的SQL优化,大部分通过加适当的索引即可达到效果,更复杂的就需要具体分析了,可以参考本站的一些优化案例或者联系我,下方有我的联系方式。这是上篇。   1、硬件层相关优化   1.1、CPU相关   在服务器的BIOS设置中,可
  • C语言homework2,有一个逆序打印数字的小算法 dcj3sjt126com c
    #h1#   0、完成课堂例子 1、将一个四位数逆序打印 1234 ==> 4321 实现方法一: # include <stdio.h> int main(void) { int i = 1234; int one = i%10; int two = i / 10 % 10; int three = i / 100 % 10;
  • apacheBench对网站进行压力测试 dcj3sjt126com apachebench
       ab 的全称是 ApacheBench , 是 Apache 附带的一个小工具 , 专门用于 HTTP Server 的 benchmark testing , 可以同时模拟多个并发请求。前段时间看到公司的开发人员也在用它作一些测试,看起来也不错,很简单,也很容易使用,所以今天花一点时间看了一下。 通过下面的一个简单的例子和注释,相信大家可以更容易理解这个工具的使用。
  • 2种办法让HashMap线程安全 flyfoxs javajdkjni
    多线程之--2种办法让HashMap线程安全 多线程之--synchronized 和reentrantlock的优缺点 多线程之--2种JAVA乐观锁的比较( NonfairSync VS. FairSync)     HashMap不是线程安全的,往往在写程序时需要通过一些方法来回避.其实JDK原生的提供了2种方法让HashMap支持线程安全.  
  • Spring Security(04)——认证简介 234390216 Spring Security认证过程
    认证简介 目录 1.1     认证过程 1.2     Web应用的认证过程 1.2.1    ExceptionTranslationFilter 1.2.2    在request之间共享SecurityContext   1
  • Java 位运算 Javahuhui java位运算
    // 左移( << ) 低位补0 // 0000 0000 0000 0000 0000 0000 0000 0110 然后左移2位后,低位补0: // 0000 0000 0000 0000 0000 0000 0001 1000 System.out.println(6 << 2);// 运行结果是24 // 右移( >> ) 高位补"
  • mysql免安装版配置 ldzyz007 mysql
    1、my-small.ini是为了小型数据库而设计的。不应该把这个模型用于含有一些常用项目的数据库。 2、my-medium.ini是为中等规模的数据库而设计的。如果你正在企业中使用RHEL,可能会比这个操作系统的最小RAM需求(256MB)明显多得多的物理内存。由此可见,如果有那么多RAM内存可以使用,自然可以在同一台机器上运行其它服务。 3、my-large.ini是为专用于一个SQL数据
  • MFC和ado数据库使用时遇到的问题 你不认识的休道人 sqlC++mfc
    =================================================================== 第一个 =================================================================== try{ CString sql; sql.Format("select * from p
  • 表单重复提交Double Submits rensanning double
    可能发生的场景: *多次点击提交按钮 *刷新页面 *点击浏览器回退按钮 *直接访问收藏夹中的地址 *重复发送HTTP请求(Ajax) (1)点击按钮后disable该按钮一会儿,这样能避免急躁的用户频繁点击按钮。 这种方法确实有些粗暴,友好一点的可以把按钮的文字变一下做个提示,比如Bootstrap的做法: http://getbootstrap.co
  • Java String 十大常见问题 tomcat_oracle java正则表达式
     1.字符串比较,使用“==”还是equals()?   "=="判断两个引用的是不是同一个内存地址(同一个物理对象)。   equals()判断两个字符串的值是否相等。   除非你想判断两个string引用是否同一个对象,否则应该总是使用equals()方法。   如果你了解字符串的驻留(String Interning)则会更好地理解这个问题。    
  • SpringMVC 登陆拦截器实现登陆控制 xp9802 springMVC
    思路,先登陆后,将登陆信息存储在session中,然后通过拦截器,对系统中的页面和资源进行访问拦截,同时对于登陆本身相关的页面和资源不拦截。   实现方法: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他