Spring Security再次體驗

原創 iteye_3779 2018-09-07 14:51

上一個例子只是初探了一下Spring Security的用法,簡單的不能再簡單的。今天進一步去體驗Spring Security的用法,豐富之前的例子。

在上一個demo的基礎上改進之處:

1、使用自己編寫的登錄頁面;

2、將明文密碼進行MD5加密;

3、進行國際化;

4、是用自己定義的頁面替代瀏覽器403無權訪問提示;

5、設置session過期跳轉頁面;

6、防止多次登錄;

 

自己定義的登陸頁面如下:login.jsp

<%@ page language="java" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
	<head>
		<title>login</title>
		<meta http-equiv="pragma" content="no-cache">
		<meta http-equiv="cache-control" content="no-cache">
		<meta http-equiv="expires" content="0">
	</head>
	<body onload='document.f.j_username.focus();'>
		<h3>
			${sessionScope.SPRING_SECURITY_LAST_EXCEPTION.message}
			<br/>
			用戶登錄
		</h3>
		<form name='f' action='<%=request.getContextPath() %>/j_spring_security_check'
			method='POST'>
			<table>
				<tr>
					<td>User:</td>
					<td><input type='text' name='j_username' value=''></td>
				</tr>
				<tr>
					<td>Password:</td>
					<td><input type='password' name='j_password' /></td>
				</tr>
				<tr>
					<td colspan='2'>
						<input name="submit" type="submit" />
					</td>
				</tr>
				<tr>
					<td colspan='2'>
						<input name="reset" type="reset" />
					</td>
				</tr>
			</table>
		</form>
	</body>
</html>

 

自定義無權訪問頁面accessDenied.jsp

<%@ page language="java" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>無權訪問</title>
  </head>
  <body>
    您的訪問被拒絕,您無權訪問該資源
  </body>
</html>

 

自定義Session過期頁面sessionTimeout.jsp

<%@ page language="java" pageEncoding="utf-8"%>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html;charset=utf-8"/>
    <title>用戶登錄已超時</title>
    <style type="text/css">
	    body{
			text-align: center;
		}
		#sessionOut {
            margin-top: 50px;
			padding: 15px 50px;
			width: 500px;
			border: 2px solid green;
			background-color: yellow;
			text-align: center;
		}
		a{
			font-weight:bold;
			font-family:"宋體";
			font-size:18px;
		}
    </style>
  </head>
<body>
	<div id ="sessionOut">
		您長時間未操作系統,爲確保您的資料及數據信息安全,
		系統自動超時退出,請重新<a href="http://<%=request.getRemoteAddr()%>:<%= request.getServerPort()%>/security1">登錄</a>系統!
	</div>
</body>
<script type="text/javascript">
if (self != top){
	window.top.location = window.location;
}
</script>
</html>

 

 

修改配置文件applicationContext.xml達到以上功能:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" 
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
						http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                        http://www.springframework.org/schema/security 
                        http://www.springframework.org/schema/security/spring-security-3.0.xsd">
	<!-- 指定被拒絕的頁面 -->
	<http auto-config='true' access-denied-page="/accessDenied.jsp">
		<!--
			login-page表示用戶登陸時顯示我們自定義的login.jsp
			authentication-failure-url表示用戶登陸失敗時,跳轉到哪個頁面,並添加一個error=true參數作爲登陸失敗的標示
			default-target-url表示登陸成功時,跳轉到哪個頁面
		-->
		<form-login login-page="/login.jsp" 
			authentication-failure-url="/login.jsp?error=true" 
			default-target-url="/index.jsp" 
		/>
		<!--登錄頁面不進行過濾,後面加一個*那是因爲請求頁面後面會帶參數-->
		<intercept-url pattern="/login.jsp*" filters="none"/>
		<intercept-url pattern="/admin.jsp" access="ROLE_ADMIN" />
		<intercept-url pattern="/**" access="ROLE_USER" />
		
		<!-- 檢測失效的sessionId,超時時定位到另外一個URL -->
		<session-management invalid-session-url="/sessionTimeout.jsp" >
			 <!-- 
				防止第二次登錄
				如果想讓第一次登錄失效第二次登錄啓用則不要配置error-if-maximum-exceeded="true"
			  -->
			<concurrency-control max-sessions="1" error-if-maximum-exceeded="true"/>
		</session-management>
	</http>
	<authentication-manager>
		<authentication-provider>
			<!-- 加密用戶的密碼 -->
			<password-encoder hash="md5"/>
			<user-service>
				<!--
					<user name="admin" password="admin" authorities="ROLE_USER, ROLE_ADMIN" />
					<user name="user" password="user" authorities="ROLE_USER" />
				-->
				<user name="admin" password="21232f297a57a5a743894a0e4a801fc3" authorities="ROLE_USER, ROLE_ADMIN" />
				<user name="user" password="ee11cbb19052e40b07aac0ca060c23ee" authorities="ROLE_USER" />
			</user-service>
		</authentication-provider>
	</authentication-manager>
	
	<!-- 國際化 -->
	<beans:bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
	  <!-- 如果不加載自己的國際化文件,去加載 Security 內部的國際化文件classpath:org/springframework/security/messages_zh_CN -->
	  <beans:property name="basename" value="classpath:messages_zh_CN"/>
	</beans:bean>

</beans:beans>

 上面每個新添加的功能配置多進行了相應的註釋說明。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

springsecurity provider啓動順序

spring security對於用戶身份的判斷是通過一系列的過濾器來完成的,如果你採用的是自定義過濾器鏈的方式來實現自己的需求,那麼需要特別注意過濾器鏈的順序問題。 但是除了過濾器的順序,還有一個特別需要注意的,就是provider

shareCode_ 2020-07-02 11:19:57

spring boot 2.2.2 中禁用 spring security

只要在 spring boot 中加入 spring security 就會自動啓用七安全機制,默認每次訪問接口都會進行驗證。但是由於某些原因,不想使用 spring security,可以選擇禁用 spring security

ChaseDreamBoy 2020-07-07 07:25:52

(二)基於數據庫的認證與授權

環境準備 controller @RestController @RequestMapping("/api/admin") public class AdminController { @GetMapping("/hel

西红柿鸡蛋打卤面 2020-07-05 23:15:39

(一)創建簡單的Spring security 項目

參考:陳木鑫老師的《Spring Security 實戰》 創建spring boot項目 通過Intellij IDEA創建Spring Boot項目的方式有許多種,其中最簡單的方式就是使用Spring Initializr 工

西红柿鸡蛋打卤面 2020-07-05 23:15:39

spring security報錯解決:IllegalArgumentException:There is no PasswordEncoder mapped for the id "null"

報錯信息:java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id “null” 頁面毫無響應 後臺彙報錯誤:java.la

南风~~~ 2020-07-05 17:06:59

springboot 2.0 集成 Spring Security進行安全控制

添加依賴 <!-- spring security 權限框架依賴 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-

瘦_猴 2020-07-05 08:08:47

無法對自定義的securityMetadataSource進行注入

在做spring security3的另一種配置方式,測試時,無法對自定義的securityMetadataSource進行注入想要使用的dao處理,後來調試發現注入進去時null,對於注入進來的是獲取不到的,利用構造可以解決, 解決方案

steryzone 2020-07-04 17:45:55

SpringSecurityOAuth開發app認證框架

令牌的表現形式就是一個字符串 文章目錄服務提供商的實現認證服務器demo pom 文件中引入app模塊依賴 使正常啓動實現認證服務器WhaleAuthenticationSecurityConfig授權碼模式的請求參數Use

神奇小白 2020-07-04 01:46:13

使用JWT替換默認令牌token

文章目錄JSON Web Token (JWT)自包含token的創建總結密籤可擴展替換默認tokenTokenStoreConfigWhaleAuthenticationServiceConfigOAuth2Properties

神奇小白 2020-07-04 01:46:13

Spring security5 集成swagger2 無法訪問的問題。

主要還是spring security把 swagger需要訪問的URL被攔截,不只是swagger-ui.html這個URL 查找網上的解決方案沒一個好用的,然後自己在跳轉重定向的方法裏打印了引發跳轉的URL,一個一個試出來的老鐵。累屁

FS小山 2020-07-03 19:32:49

Spring Security 3.x 完整入門教程(轉)

Spring Security 3.x 出來一段時間了,跟Acegi是大不同了,與2.x的版本也有一些小小的區別,網上有一些文檔,也有人翻譯Spri

oEveryman 2020-07-03 05:57:38

Spring Security 分佈式認證

目錄標題相關介紹公共模塊認證模塊資源模塊 相關介紹 1)JWT JWT:全稱 JSON Web Token,是一個分佈式身份校驗方案,可生產 token,也可解析 token JWT生成的 token 由三部分組成: 頭部:主要

爱游戏爱动漫的肥宅 2020-07-03 05:34:24

BCrypt初體驗之加密與驗證

版權聲明:本文爲 小異常 原創文章,非商用自由轉載-保持署名-註明出處,謝謝! 本文網址:https://blog.csdn.net/sun8112133/article/details/107057062 BCryp

小异常 2020-07-02 20:33:30

關於There is no PasswordEncoder mapped for the id null的報錯

版權聲明:本文爲 小異常 原創文章,非商用自由轉載-保持署名-註明出處,謝謝! 本文網址:https://blog.csdn.net/sun8112133/article/details/107056906 最近在做 Sp

小异常 2020-07-02 20:33:29

Spring Security4.0.3源碼分析之FilterChainProxy執行過程分析

最近在學習安全框架spring Security,想弄清楚其中實現的具體步驟,於是下定決心,研究一下Spring Security源碼,這篇博客的目的是想把學習過程記錄下來。學習過程中主要參考了http://dead-knight

RobertoHuang 2020-07-01 18:11:32