SpringSecurity入门初探(springMVC方式)

前言

Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。springSecurity基于 Spring AOP 和 Servlet 过滤器。其核心是一系列的过滤器链。通过各种过滤器在 Web 请求级和方法调用级处理身份确认和授权。Spring Security最主要的两个核心功能:登录认证 和授权。

一、入门

我们想要分析它的运行原理,用户名和密码被提交后,被提交到了哪里,经历了哪些认证等等,首先需要知道如何正常使用,我们先写一个入门demo,该demo暂时不涉及mysql数据库认证,只是在spring-security.xml 中配置认证管理器进行验证。

1. pom.xml 添加依赖

使用idea创建maven项目,将项目中各个文件夹首先创建好以后,我们再填充文件信息。项目如下:

spring-security-project

项目创建好之后,添加spring-security的依赖,和spring相关核心依赖。还有,该项目以tomcat7-maven-plugin插件进行启动。

pom.xml 中的依赖集合和插件代码:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.dzb</groupId>
    <artifactId>spring-security-demo</artifactId>
    <version>1.0-SNAPSHOT</version>
    <packaging>war</packaging>
    <properties>
        <webVersion>3.0</webVersion>
        <spring.version>4.2.5.RELEASE</spring.version>
    </properties>
    
    <dependencies>
        <!--spring相关依赖-->
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-core</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context-support</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-test</artifactId>
            <version>${spring.version}</version>
        </dependency>

        <!--security 核心包-->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>
        <!---->
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>
            <scope>provided</scope>
        </dependency>
    </dependencies>
    <!--插件-->
    <build>
        <plugins>
            <plugin>
                <artifactId>maven-compiler-plugin</artifactId>
                <configuration>
                    <source>1.8</source>
                    <target>1.8</target>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.tomcat.maven</groupId>
                <artifactId>tomcat7-maven-plugin</artifactId>
                <configuration>
                    <!-- 指定端口 -->
                    <port>9090</port>
                    <!-- 请求路径 -->
                    <path>/</path>
                </configuration>
            </plugin>
        </plugins>
    </build>
</project>

tomcat7-maven-plugin插件启动的方法,我在ssm个人博客中有简单描述,在此不重复了。

2. web.xml 配置

在web.xml 中配置前端控制器、读取spring-*.xml 文件配置、监听器、springsecurity 过滤器等。

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         version="2.5">

    <!--前端控制器-->
    <servlet>
        <servlet-name>springmvc</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <init-param>
            <param-name>contextConfigLocation</param-name>
            <param-value>classpath:spring*.xml</param-value>
        </init-param>
    </servlet>
    <servlet-mapping>
        <servlet-name>springmvc</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>


    <!--spring 文件配置-->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring*.xml</param-value>
    </context-param>
    <!--监听器-->
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <!--springsecurity 过滤器.-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

3. resources下spring-*.xml配置

本次demo中在resources文件夹下配置两个spring相关的配置文件,一个是spring-mvc.xml ,主要有注解扫描的配置、静态资源映射、视图解析器;另一个xml文件就是我们主要的spring-security.xml,该配置文件就是配置我们登陆认证的核心文件。

spring-mvc.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:p="http://www.springframework.org/schema/p"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:mvc="http://www.springframework.org/schema/mvc"

       xsi:schemaLocation="http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd
      http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
      http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd">

    <context:component-scan base-package="com.dzbiao"/>

    <!-- 一个配置节解决映射器和适配器的配置注解配置 -->
    <mvc:annotation-driven></mvc:annotation-driven>

    <!-- 静态资源映射 -->
    <mvc:resources mapping="/static/css/**" location="/static/css/"></mvc:resources>
    <mvc:resources mapping="/static/js/**" location="/static/js/"></mvc:resources>
    <mvc:resources mapping="/static/img/**" location="/static/img/"></mvc:resources>
    <mvc:resources mapping="/static/fonts/**" location="/static/fonts/"></mvc:resources>

    <!--视图解析器-->
    <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
        <property name="prefix" value="/views/"></property>
        <property name="suffix" value=".jsp"></property>
    </bean>

</beans>

spring-security.xml 中我们需要配置放行的路径,包括静态资源配置、登陆页面的路径放行、登陆失败的路径放行,以及页面的拦截规则,和认证管理器。

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
             xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <!--配置不拦截路径-->
    <http pattern="/favicon.ico" security="none"/>
    <!--静态资源放行-->
    <http pattern="/static/**" security="none"/>
    <!--http:登录和失败不进行拦截-->
    <http pattern="/user/login" security="none"></http>
    <http pattern="/login_error.html" security="none"></http>


    <!-- 页面拦截规则 -->
    <http use-expressions="false">
        <intercept-url pattern="/**" access="ROLE_USER" />
        <form-login login-page="/user/login"  default-target-url="/index"
                    always-use-default-target="true" authentication-failure-url="/login-error"/>
        <!--csrf 跨域请求伪造-->
        <csrf disabled="true"/>
    </http>

    <!-- 认证管理器 -->
    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="admin" password="123456" authorities="ROLE_USER"/>
                <user name="root" password="root" authorities="ROLE_USER"/>
            </user-service>
        </authentication-provider>
    </authentication-manager>
</beans:beans>

我们看下页面拦截规则中的form-login标签的配置。在注释中解释一下:

<form-login login-page="/user/login"  default-target-url="/index" always-use-default-target="true"  authentication-failure-url="/login-error"/>
<!--
	login-page : 登陆页路径
	default-target-url :身份验证登陆成功后跳转的页面
	authentication-failure-url :身份验证登陆失败后跳转的页面 
	username-parameter : 该用户名参数和登录表单中name="username" 要保持一致。
	password-parameter :该密码参数和登录表单中name="password" 要保持一致。
-->
<!--csrf 跨域请求伪造-->
<csrf disabled="true"/>

4. controller层添加映射

我们需要在controller层中新建一个IndexController类中添加三个资源映射,一个是登录成功后的主页映射 /index,一个是 返回登录页的登录映射/user/login,一个是登录失败的页面映射/login-error ,该三个映射返回的都是jsp页面,那我们就需要在webapp下创建views 文件夹,views 文件夹下创建index.jsp,login.jsplogin_error.jsp。index.jsp和login_error.jsp 只需要写些字符串即可。主要是login.jsp的内容。

@Controller
public class IndexController {

    @RequestMapping("/index")
    public String index(){
        System.out.println("index");
        return "index" ;
    }

    // 登录页地址路由
    @RequestMapping("/user/login")
    public String login(){
        System.out.println("login");
        return "login" ;
    }

    // 错误路由
    @RequestMapping("/login-error")
    public String login_error(){
        System.out.println("login-error");
        return "login_error" ;
    }
}

login.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html lang="zh">
<head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1, user-scalable=no" />
    <title>登录页面 </title>
    <link href="/static/css/bootstrap.min.css" rel="stylesheet">
    <link href="/static/css/materialdesignicons.min.css" rel="stylesheet">
    <link href="/static/css/style.min.css" rel="stylesheet">

</head>

<body>
<div class="row lyear-wrapper">
    <div class="lyear-login">
        <div class="login-center">
            <div class="login-header text-center">
                <a href="index.html"> <img alt="light year admin" src="/static/img/logo-sidebar.png"> </a>
            </div>
            <form action="/login" method="POST">
                <div class="form-group has-feedback feedback-left">
                    <input type="text" placeholder="请输入您的用户名" class="form-control" name="username" />
                    <span class="mdi mdi-account form-control-feedback" aria-hidden="true"></span>
                </div>
                <div class="form-group has-feedback feedback-left">
                    <input type="password" placeholder="请输入密码" class="form-control" name="password" />
                    <span class="mdi mdi-lock form-control-feedback" aria-hidden="true"></span>
                </div>

                <div class="form-group">
                    <button class="btn btn-block btn-primary" type="submit" >立即登录</button>
                </div>
            </form>
            <hr>
        </div>
    </div>
</div>
<script type="text/javascript" src="/static/js/jquery.min.js"></script>
<script type="text/javascript" src="/static/js/bootstrap.min.js"></script>

</body>
</html>

登录表单需要注意的是:

一、两个input框,需要填写 name=“username”name="password",springSecurity 默认接收的参数是username和password,如果需要改变,就要和spring-security.xml中的 form-login标签中配置 username-parameterpassword-parameter

二、springsecurity默认表单提交的路径为/login,所以我们在写controller中写登录页面路径的时候,尽量避免写成/login ,不然的话,就需要放行/login路径了,那这样的话,springsecurity就无法拦截并进行验证了。我在本demo中写的是/user/login

由于我喜欢把页面搞得好看些,所以总是在做demo的时候同时把样式调的好看些。登录页显示:(http://localhost:9090/user/login)

security-login

5. webapp下增加静态资源

webapp 下添加static文件夹,按照一般的项目结构,static下存在imgjsfontscss文件夹。当然在此不配置静态资源也不影响功能。静态资源在文章尾项目demo地址提供。

6. 运行验证

我们在tomcat7-maven-plugin插件配置的端口是9090,因此我们访问 http://localhost:9090/user/login ,由于没有连接数据库,仅仅是在spring-security.xml 中配置的认证管理器中配置了两个用户 adminpassword,密码分别是123456和root。我们会发现,只有输入这两个用户,才会被允许进入index.jsp 页面,否则,只会被拦截在登录页面。

至此: 我们就简单实现了security 的登录认证。当然,才这么点,远远不够,下次我们就需要和数据库进行查询验证了。

demo 源码 : 链接:https://pan.baidu.com/s/12mugl5kCE1FQj_pesK9bxw
提取码:ktov

posted @ 2021-03-27 16:02  xiaobiao~  阅读(335)  评论(0编辑  收藏  举报