springsecurity完整项目实例_springsecurity入门案例,springsecurity示例资源-CSDN文库

共59个文件

class：18个

java：16个

jsp：7个

需积分: 50 74 浏览量 2014-01-07 14:56:37 上传评论 1 收藏 53KB ZIP 举报

Spring Security 是一个强大的安全框架，用于为Java应用提供身份验证和授权服务。在这个完整的项目实例中，我们将深入探讨Spring Security的核心概念以及如何将其应用于实际的Web应用程序开发。我们从用户、角色和权限这三个核心元素开始。在Spring Security中，用户信息通常存储在一个持久化的数据源中，如数据库。通过UserDetailsService接口，我们可以自定义实现来加载用户信息。用户与角色之间的关系通常通过用户角色表来建立，而角色则赋予了用户特定的权限。登录功能是Spring Security的基础，它提供了默认的登录页面和处理机制。你可以通过配置HttpSecurity来定制登录过程，例如设置登录URL、失败URL和成功处理器。Spring Security支持基于表单的身份验证，也支持OAuth2和其他现代认证协议。免登录功能，即Remember-Me服务，允许用户在一段时间内无须反复登录。这通过RememberMeServices接口实现，通常使用Token-Based策略，将一个长期有效的令牌存储在用户的浏览器cookie中。 session配置在Spring Security中至关重要。它可以控制会话的最大并发数量，防止会话固定攻击，并可以设置会话超时策略。使用HttpSessionAuthenticationStrategy和SessionManagementConfigurer，我们可以精细化管理用户会话。角色和权限验证是Spring Security的核心功能之一。通过RoleHierarchy接口，我们可以定义角色的层次结构。权限验证则基于AccessDecisionManager和AccessDecisionVoter，它们决定了用户是否有权访问特定的资源。通常，我们使用注解（@Secured或@PreAuthorize/@PostAuthorize）来声明性地控制方法级别的权限。此外，Spring Security提供了过滤器链，这是处理请求的关键部分。如AnonymousAuthenticationFilter负责匿名用户的处理，UsernamePasswordAuthenticationFilter处理基于表单的登录，而RememberMeAuthenticationFilter处理Remember-Me服务。在实际项目中，我们还需要配置安全拦截规则，比如使用WebSecurityConfigurerAdapter的configure(HttpSecurity http)方法，定义哪些URL需要保护，哪些可以匿名访问。 Spring Security提供了丰富的日志和审计功能，帮助开发者追踪和理解系统的安全行为。这个"spring security 完整项目实例"涵盖了Spring Security的核心组件和用法，包括用户管理、身份验证、权限控制、会话管理等多个方面。通过学习和实践这个项目，开发者能够深入理解Spring Security的工作原理，从而更有效地保护自己的Java应用。

资源推荐

资源详情

资源评论

收起资源包目录

spring_security.zip （59个子文件）

spring_security

db.sql 2KB

test

TestDemo.java 595B

TestJDBC.java 1KB

.settings

com.genuitec.eclipse.j2eedt.core.prefs 1KB

org.eclipse.wst.jsdt.ui.superType.name 6B

org.eclipse.wst.jsdt.ui.superType.container 49B

.jsdtscope 500B

org.eclipse.jdt.core.prefs 330B

src

main

manager

MyDaoAuthenticationProvider.java 1KB

MyAccessDecisionManager.java 2KB

filter

MySecurityFilter.java 3KB

MyLoginFilter.java 3KB

model

User.java 959B

Role.java 506B

Resource.java 751B

Perm.java 506B

consts

daoImpl

UserDaoImpl.java 2KB

transaction

TransactionDemo.java 590B

security

UserDetail.java 2KB

controller

FileUploadController.java 2KB

TestController.java 649B

service

UserService.java 1KB

source

.project 1KB

WebRoot

loginError.jsp 923B

META-INF

MANIFEST.MF 36B

timeout.jsp 844B

WEB-INF

config

jdbc.properties 122B

log4j.properties 2KB

web.xml 3KB

classes

test

TestJDBC.class 2KB

TestDemo.class 820B

main

manager

MyDaoAuthenticationProvider.class 2KB

MyAccessDecisionManager.class 3KB

filter

MySecurityFilter.class 3KB

MyLoginFilter.class 3KB

model

User.class 2KB

Perm.class 895B

Resource.class 1KB

Role.class 895B

consts

daoImpl

UserDaoImpl$2.class 2KB

UserDaoImpl.class 2KB

UserDaoImpl$1.class 2KB

transaction

TransactionDemo.class 526B

security

UserDetail.class 2KB

controller

TestController.class 1KB

FileUploadController.class 3KB

service

UserService.class 1KB

source

lib

spring

spring_security.xml 3KB

spring.xml 4KB

springmvc-servlet.xml 3KB

spring-dao.xml 655B

spring-service.xml 862B

index.jsp 1KB

accessDenied.jsp 855B

fileUpload.jsp 1KB

test1.jsp 858B

.mymetadata 319B

.classpath 8KB

.myeclipse

package main.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import org.springframework.security.access.SecurityMetadataSource; import org.springframework.security.access.intercept.AbstractSecurityInterceptor; import org.springframework.security.access.intercept.InterceptorStatusToken; import org.springframework.security.web.FilterInvocation; import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource; public class MySecurityFilter extends AbstractSecurityInterceptor implements Filter { //与applicationContext-security.xml里的myFilter的属性securityMetadataSource对应， //其他的两个组件，已经在AbstractSecurityInterceptor定义 private FilterInvocationSecurityMetadataSource securityMetadataSource; @Override public SecurityMetadataSource obtainSecurityMetadataSource() { return this.securityMetadataSource; } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { FilterInvocation fi = new FilterInvocation(request, response, chain); invoke(fi); } private void invoke(FilterInvocation fi) throws IOException, ServletException { // object为FilterInvocation对象 //super.beforeInvocation(fi);源码 //1.获取请求资源的权限 //执行Collection<ConfigAttribute> attributes = SecurityMetadataSource.getAttributes(object); //2.是否拥有权限 //this.accessDecisionManager.decide(authenticated, object, attributes); InterceptorStatusToken token = super.beforeInvocation(fi); try { fi.getChain().doFilter(fi.getRequest(), fi.getResponse()); } finally { super.afterInvocation(token, null); } } public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() { return securityMetadataSource; } public void setSecurityMetadataSource(FilterInvocationSecurityMetadataSource securityMetadataSource) { this.securityMetadataSource = securityMetadataSource; } public void init(FilterConfig arg0) throws ServletException { // TODO Auto-generated method stub } public void destroy() { // TODO Auto-generated method stub } @Override public Class<? extends Object> getSecureObjectClass() { //下面的MyAccessDecisionManager的supports方面必须放回true,否则会提醒类型错误 return FilterInvocation.class; } }

评论收藏

内容反馈