spring security入门

目标1：实现SpringSecurity入门小Demo

目标2：完成运营商登陆与安全控制功能

目标3：完成商家入驻

目标4：完成商家审核

目标5：完成商家系统登陆与安全控制功能

1.Spring Security框架入门

1.1 Spring Security简介

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

1.2 Spring Security入门小Demo

1.2.1最简单Demo

（1）创建工程spring-security-demo ,pom.xml内容

"http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">

4.0.0

cn.itcast.demo

spring-security-demo

war

0.0.1-SNAPSHOT

4.2.4.RELEASE

org.springframework

spring-core

${spring.version}

org.springframework

spring-web

${spring.version}

org.springframework

spring-webmvc

${spring.version}

org.springframework

spring-context-support

${spring.version}

org.springframework

spring-test

${spring.version}

org.springframework

spring-jdbc

${spring.version}

org.springframework.security

spring-security-web

4.1.0.RELEASE

org.springframework.security

spring-security-config

4.1.0.RELEASE

javax.servlet

servlet-api

2.5

provided

  

      

  

org.apache.maven.plugins

maven-compiler-plugin

3.2

1.7

1.7

UTF-8

        

      

org.apache.tomcat.maven

tomcat7-maven-plugin

9090

/

     

     

    

（2）创建web.xml

"1.0" encoding="UTF-8"?>

"http://www.w3.org/2001/XMLSchema-instance"

xmlns="http://java.sun.com/xml/ns/javaee"

xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"

version="2.5">

    

contextConfigLocation

classpath:spring-security.xml

 

 

org.springframework.web.context.ContextLoaderListener

 

   

springSecurityFilterChain    org.springframework.web.filter.DelegatingFilterProxy  

   

   

springSecurityFilterChain  

/*  

 

（3）创建index.html   内容略

（4）创建spring 配置文件spring-security.xml

"1.0" encoding="UTF-8"?>

"http://www.springframework.org/schema/security"

xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd

http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

"false">

"/**" access="ROLE_USER" />

"admin" password="123456" authorities="ROLE_USER"/>

此案例我们没有登录页，而是使用了系统自动生成的登陆页，效果如下：

配置说明：

intercept-url表示拦截页面   

/*表示的是该目录下的资源，只包括本级目录不包括下级目录

/**表示的是该目录以及该目录下所有级别子目录的资源

form-login为开启表单登陆

use-expressions为是否使用使用Spring表达式语言（ SpEL ），默认为true ,如果开启，则拦截的配置应该写成以下形式

"/**" access="hasRole('ROLE_USER')" />

1.2.2用户自定义登录页

实际开发中，我们不可能使用系统生成的登录页，而是使用我们自己的登录页。

（1）构建登陆页：

"Content-Type" content="text/html; charset=UTF-8">

'/login' method='POST'>

'2'>"submit" type="submit"

value="登陆" />

用户名:	'text' name='username' value=''>
密码:	'password' name='password' />

[if !supportLists]（2）[endif]构建登陆失败页login_error.html（内容略）

（3）修改 spring 配置文件spring-security.xml  

"/login.html" security="none">

"/login_error.html" security="none">

"false">

"/*" access="ROLE_USER" />

"/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>

"true"/>

security="none"设置此资源不被拦截. 如果你没有设置登录页security="none"，将会出现以下错误

因为登录页会被反复重定向。

login-page：指定登录页面。authentication-failure-url：指定了身份验证失败时跳转到的页面。default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。

csrf disabled="true"关闭csrf ,如果不加会出现错误

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。