SpringSecurity3.x完整入门教程源代码_源代码是什么东西资源-CSDN文库

共21个文件

xml：5个

java：4个

jsp：4个

Spring

Security

完整入门教程

5星 · 超过95%的资源需积分: 9 105 浏览量 2010-03-10 12:21:58 上传评论 8 收藏 16KB RAR 举报

Spring Security 是一个强大的Java安全框架，用于保护基于Spring的应用程序。3.x版本是该框架的一个稳定版本，提供了全面的身份验证、授权和访问控制功能。在这个完整的入门教程中，你将学习如何利用Spring Security来构建安全的Web应用。 1. **身份验证**：Spring Security 提供了多种认证机制，如基于表单的登录、HTTP基本认证、OAuth2等。在3.x版本中，你可以配置`AuthenticationManager`来处理用户的身份验证请求，通过`UserDetailsService`接口获取用户信息，并使用`PasswordEncoder`对密码进行加密存储。 2. **访问控制**：Spring Security 的核心概念之一是访问决策管理器（Access Decision Manager），它决定了用户是否被允许访问某个资源。使用`@Secured`或`@PreAuthorize`等注解可以实现方法级别的权限控制，而`<intercept-url>`元素则用于配置URL路径的访问规则。 3. **过滤器链**：Spring Security 的工作流程主要通过一系列过滤器完成，如`DelegatingFilterProxy`指向Spring Security的FilterChainProxy，后者管理着所有安全相关的过滤器，如`UsernamePasswordAuthenticationFilter`用于处理登录请求，`RememberMeAuthenticationFilter`实现记住我功能，以及`HttpSessionAuthenticationStrategy`处理会话认证。 4. **安全上下文**：每个请求都有一个安全上下文，存储当前用户的认证信息。`SecurityContextHolder`提供了一个全局的访问点，可以从任何地方获取当前用户的权限信息。 5. **角色与权限**：Spring Security 支持角色和权限的概念，可以通过`GrantedAuthority`接口定义用户的角色，然后在访问控制策略中使用这些角色。例如，`hasRole('ROLE_ADMIN')`将检查用户是否具有"ROLE_ADMIN"角色。 6. **异常处理**：当安全检查失败时，Spring Security会抛出相应的异常，如`AccessDeniedException`表示用户没有足够的权限，`AuthenticationException`表示认证失败。你可以自定义异常处理逻辑，提供友好的错误页面。 7. **CSRF保护**：Spring Security 3.x 默认集成了CSRF（跨站请求伪造）防护，可以通过配置关闭或定制相关行为，以防止恶意攻击。 8. **集成其他Spring模块**：Spring Security 可以无缝集成Spring MVC、Spring WebFlow和Spring Data等，提供全面的安全支持。 9. **国际化的提示信息**：Spring Security 允许你配置多语言提示信息，以适应不同地区的用户。 10. **MyEclipse工程**：这个教程源代码是用MyEclipse开发环境创建的，意味着你可以导入工程并直接运行，便于学习和调试。在学习过程中，你可能需要理解Spring Security的核心组件、配置文件的结构以及如何根据项目需求进行定制。逐步掌握这些知识点，你将能够为你的Spring应用构建出坚固的安全屏障。

资源推荐

资源详情

资源评论

收起资源包目录

ss3 src.rar （21个子文件）

ss3

.project 1KB

conf

applicationContext-biz.xml 167B

applicationContext-security.xml 3KB

.mymetadata 282B

WebRoot

WEB-INF

web.xml 952B

lib

classes

applicationContext-biz.xml 167B

com

robin

erp

fwk

security

MyInvocationSecurityMetadataSource.class 3KB

MyAccessDecisionManager.class 3KB

MyUserDetailService.class 2KB

MyFilterSecurityInterceptor.class 3KB

applicationContext-security.xml 3KB

index.jsp 888B

META-INF

MANIFEST.MF 39B

403.jsp 811B

i.jsp 836B

.myeclipse

src

com

robin

erp

fwk

security

MyAccessDecisionManager.java 2KB

MyFilterSecurityInterceptor.java 2KB

MyInvocationSecurityMetadataSource.java 2KB

MyUserDetailService.java 1KB

.classpath 3KB

package com.robin.erp.fwk.security; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import org.springframework.security.access.SecurityMetadataSource; import org.springframework.security.access.intercept.AbstractSecurityInterceptor; import org.springframework.security.access.intercept.InterceptorStatusToken; import org.springframework.security.web.FilterInvocation; import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource; public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter { private FilterInvocationSecurityMetadataSource securityMetadataSource; // ~ Methods // ======================================================================================================== /** * Method that is actually called by the filter chain. Simply delegates to * the {@link #invoke(FilterInvocation)} method. * * @param request * the servlet request * @param response * the servlet response * @param chain * the filter chain * * @throws IOException * if the filter chain fails * @throws ServletException * if the filter chain fails */ public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { FilterInvocation fi = new FilterInvocation(request, response, chain); invoke(fi); } public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() { return this.securityMetadataSource; } public Class<? extends Object> getSecureObjectClass() { return FilterInvocation.class; } public void invoke(FilterInvocation fi) throws IOException, ServletException { InterceptorStatusToken token = super.beforeInvocation(fi); try { fi.getChain().doFilter(fi.getRequest(), fi.getResponse()); } finally { super.afterInvocation(token, null); } } public SecurityMetadataSource obtainSecurityMetadataSource() { return this.securityMetadataSource; } public void setSecurityMetadataSource( FilterInvocationSecurityMetadataSource newSource) { this.securityMetadataSource = newSource; } @Override public void destroy() { } @Override public void init(FilterConfig arg0) throws ServletException { } }

评论收藏

内容反馈