springSecurity初识-练气初期

1.写在前面

Spring Security是一个框架，提供针对常见攻击的身份验证，授权和保护。通过对命令式和反应式应用程序的一流支持，它是保护基于Spring的应用程序的事实标准。

Spring Security是spring AOP思想的具体实现。它基于servlet过滤器实现访问控制。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架 （画外音：学起来有点复杂，相对于Shiro）。

2. Spring Security主要jar包功能介绍

spring-security-core.jar
核心包，任何Spring Security功能都需要此包。

spring-security-web.jar
web工程必备，包含过滤器和相关的Web安全基础结构代码。

spring-security-config.jar
用于解析xml配置文件，用到Spring Security的xml配置文件的就要用到此包。

spring-security-taglibs.jar
Spring Security提供的动态标签库，jsp页面可以用。

3.基本使用

3.1 与spring、springmvc整合

第一步：在pom.xml中引入相关jar包

   
           org.springframework.security
           spring-security-web
           5.3.4.RELEASE
       
       
           org.springframework.security
           spring-security-config
           5.3.4.RELEASE
       

第二步：配置web.xml，添加spring Sercuity过滤器链

       springSecurityFilterChain
          org.springframework.web.filter.DelegatingFilterProxy
    


        springSecurityFilterChain
        
        /*

注意：过滤器名称必须叫springSecurityFilterChain

为啥？因为在过滤器链初始化的时候，它是根据id读取的web.xml得到springSecurityFilterChain的相关配置。

第三步：添加spring security核心配置文件

配置文件名称随便起

关于配置文件的说明：

1. auto-config = “true”：表示自动加载spring security配置文件。这个值必须为true，不然将无法使用spring security；
2. use-expressions="true" ：使用spring的el表达式来配置springSecurity
3. pattern=“/**”：拦截所有路径；
4. access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"：必须要有ROLE_USER或者ROLE_ADMIN角色才能访问资源；
5. {noop}：spring security默认是加密认证，添加此字段表示不加密认证。

第四步：将spring security配置文件添加到spring配置文件中

关于将spring security添加到spring容器而不是springMVC容器的说明：

学过springMVC的同学都知道，当spring工程中引入springMVC后，整一个工程当中有两个IOC容器：父容器spring和子容器springMVC。子容器可以访问父容器的内容，而父容器不能访问子容器的内容。对于外界来说，它只能访问子容器springMVC而不能访问父容器spring。

如果把spring容器比作一个国家的所有资源，那么springmvc容器就是这个国家提供给外界访问的一个关口。所有像访问这个国家的资源的人，都必须通过springmvc这个关口去访问。（提供凭证[参数]给controller，再由controller调用service完成资源访问）。

所以，为了不暴露spring security的相关代码，故而我们将spring security加载到spring容器内。

第五步：运行项目，打开浏览器输入http:127.0.0.1:8080/index即可看到如下效果，

这个页面是spring security的默认登录页面。输入前面定义的username和password即可登录.

END

至此，关于spring security的入门案例就结束了。后面将逐步更新spring security的内容。

此外，关于文章排序，在我的博客里暂时不用1、2、3、4、5、6而是使用修仙境界：炼气、筑基、结丹、元婴、化神、炼虚、合体、大乘等。
代码下载：https://github.com/code81192/...