Spring Security入门Demo

一、spring Security简介

SpringSecurity,这是一种基于Spring AOP和Servlet过滤器的安全框架。它提供全面的安全性解决方案,同时在Web请求级和方法调用级处理身份确认和授权。在Spring Framework基础上,Spring Security充分利用了依赖注入(DI,Dependency Injection)和面向切面技术。

 

二、建立工程

参考http://blog.csdn.net/haishu_zheng/article/details/51490299,用第二种方法创建名为spring-security-demo的Maven工程。

工程的最终目录结构为

 

 

三、源代码

1 pom.xml里引入所需要的包

 

[html] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0http://maven.apache.org/xsd/maven-4.0.0.xsd">  
  2.   <modelVersion>4.0.0</modelVersion>  
  3.   <groupId>spring-security-demo</groupId>  
  4.   <artifactId>spring-security-demo</artifactId>  
  5.   <version>0.0.1-SNAPSHOT</version>  
  6.   <packaging>war</packaging>  
  7.   <name>spring-security-demo</name>  
  8.   <description/>  
  9.   <properties>  
  10.     <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>  
  11.   </properties>  
  12.     <dependencies>  
  13.         <dependency>  
  14.             <groupId>javax</groupId>  
  15.             <artifactId>javaee-api</artifactId>  
  16.             <version>7.0</version>  
  17.             <scope>provided</scope>  
  18.         </dependency>  
  19.     <dependency>  
  20.         <groupId>jstl</groupId>  
  21.         <artifactId>jstl</artifactId>  
  22.         <version>1.2</version>  
  23.     </dependency>  
  24.         <dependency>  
  25.             <groupId>org.springframework</groupId>  
  26.             <artifactId>spring-webmvc</artifactId>  
  27.             <version>3.2.9.RELEASE</version>  
  28.             <type>jar</type>  
  29.             <scope>compile</scope>  
  30.         </dependency>  
  31.         <dependency>  
  32.             <groupId>org.springframework</groupId>  
  33.             <artifactId>spring-context</artifactId>  
  34.             <version>3.2.9.RELEASE</version>  
  35.         </dependency>  
  36.         <dependency>  
  37.             <groupId>org.springframework.security</groupId>  
  38.             <artifactId>spring-security-config</artifactId>  
  39.             <version>3.1.6.RELEASE</version>  
  40.             <type>jar</type>  
  41.             <scope>compile</scope>  
  42.         </dependency>  
  43.         <dependency>  
  44.             <groupId>org.springframework.security</groupId>  
  45.             <artifactId>spring-security-taglibs</artifactId>  
  46.             <version>3.1.6.RELEASE</version>  
  47.             <type>jar</type>  
  48.             <scope>compile</scope>  
  49.         </dependency>  
  50.         <dependency>  
  51.             <groupId>log4j</groupId>  
  52.             <artifactId>log4j</artifactId>  
  53.             <version>1.2.15</version>  
  54.             <type>jar</type>  
  55.             <scope>compile</scope>  
  56.         </dependency>  
  57.     </dependencies>  
  58.    
  59. </project>  

 

 

2 web.xml

 

[html] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://xmlns.jcp.org/xml/ns/javaee" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" id="WebApp_ID" version="3.1">  
  3.   <display-name>spring-security-demo</display-name>  
  4.     <filter>  
  5.         <filter-name>springSecurityFilterChain</filter-name>  
  6.         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  7.     </filter>  
  8.     <filter-mapping>  
  9.         <filter-name>springSecurityFilterChain</filter-name>  
  10.         <url-pattern>/*</url-pattern>  
  11.     </filter-mapping>  
  12.   
  13.     <context-param>  
  14.         <param-name>contextConfigLocation</param-name>  
  15.         <param-value>  
  16.         /WEB-INF/spring-security.xml  
  17.         /WEB-INF/applicationContext.xml  
  18.         </param-value>  
  19.     </context-param>  
  20.   
  21.     <servlet>  
  22.         <servlet-name>spring</servlet-name>  
  23.         <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>  
  24.         <load-on-startup>1</load-on-startup>  
  25.     </servlet>  
  26.     <servlet-mapping>  
  27.         <servlet-name>spring</servlet-name>  
  28.         <url-pattern>/</url-pattern>  
  29.     </servlet-mapping>  
  30.   
  31.     <listener>  
  32.         <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>  
  33.     </listener>  
  34. </web-app>  

 

 

这里两处关于springsecurity的配置表示项目中所有路径的资源都要经过Spring Security。

注意:最好是将DelegatingFilterProxy写在DispatcherServlet之前,否则Spring Security可能不会正常工作。

 

3 spring-servlet.xml

[html] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <beans xmlns="http://www.springframework.org/schema/beans"  
  3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"  
  4.     xsi:schemaLocation="http://www.springframework.org/schema/beans   
  5.             http://www.springframework.org/schema/beans/spring-beans-3.0.xsd">  
  6.   
  7.     <!-- 定义一个视图解析器 -->  
  8.     <bean id="viewResolver"  
  9.         class="org.springframework.web.servlet.view.InternalResourceViewResolver"  
  10.         p:prefix="/WEB-INF/jsp/" p:suffix=".jsp" />  
  11. </beans>  

 

这个XML配置声明一个视图解析器.在控制器中会根据JSP名映射到/WEB-INF/jsp中相应的位置。

 

4 applicationContext.xml

 

[html] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <beans xmlns="http://www.springframework.org/schema/beans"  
  3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   
  4.     xmlns:context="http://www.springframework.org/schema/context"  
  5.     xmlns:mvc="http://www.springframework.org/schema/mvc"  
  6.     xsi:schemaLocation="http://www.springframework.org/schema/beans   
  7.             http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
  8.             http://www.springframework.org/schema/context  
  9.             http://www.springframework.org/schema/context/spring-context-3.0.xsd  
  10.             http://www.springframework.org/schema/mvc   
  11.             http://www.springframework.org/schema/mvc/spring-mvc-3.0.xsd">  
  12.   
  13.     <!-- 激活spring的注解. -->  
  14.     <context:annotation-config />  
  15.   
  16.     <!-- 扫描注解组件并且自动的注入spring beans中.   
  17.     例如,他会扫描@Controller 和@Service下的文件.所以确保此base-package设置正确. -->  
  18.     <context:component-scan base-package="com.demo" />  
  19.   
  20.     <!-- 配置注解驱动的Spring MVC Controller 的编程模型.注:次标签只在 Servlet MVC工作! -->  
  21.     <mvc:annotation-driven />  
  22.   
  23. </beans>  

 

 

5 spring-security.xml

 

[html] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <beans xmlns="http://www.springframework.org/schema/beans"  
  3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   
  4.     xmlns:security="http://www.springframework.org/schema/security"  
  5.     xsi:schemaLocation="http://www.springframework.org/schema/beans   
  6.             http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
  7.             http://www.springframework.org/schema/security   
  8.             http://www.springframework.org/schema/security/spring-security-3.1.xsd">  
  9.       
  10.     <!--  Spring-Security 的配置 -->  
  11.     <!-- 注意use-expressions=true.表示开启表达式,否则表达式将不可用.  
  12.     see:http://www.family168.com/tutorial/springsecurity3/html/el-access.html  
  13.      -->  
  14.     <security:http auto-config="true" use-expressions="true" access-denied-page="/auth/denied" >  
  15.           
  16.         <security:intercept-url pattern="/auth/login" access="permitAll"/>  
  17.         <security:intercept-url pattern="/main/admin" access="hasRole('ROLE_ADMIN')"/>  
  18.         <security:intercept-url pattern="/main/common" access="hasRole('ROLE_USER')"/>  
  19.           
  20.         <security:form-login  
  21.                 login-page="/auth/login"   
  22.                 authentication-failure-url="/auth/login?error=true"   
  23.                 default-target-url="/main/common"/>  
  24.               
  25.         <security:logout   
  26.                 invalidate-session="true"   
  27.                 logout-success-url="/auth/login"   
  28.                 logout-url="/auth/logout"/>  
  29.       
  30.     </security:http>  
  31.       
  32.     <!-- 指定一个自定义的authentication-manager :customUserDetailsService -->  
  33.     <security:authentication-manager>  
  34.             <security:authentication-provider user-service-ref="customUserDetailsService">  
  35.                     <security:password-encoder ref="passwordEncoder"/>  
  36.             </security:authentication-provider>  
  37.     </security:authentication-manager>  
  38.       
  39.     <!-- 对密码进行MD5编码 -->  
  40.     <bean class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" id="passwordEncoder"/>  
  41.   
  42.     <!--   
  43.         通过 customUserDetailsService,Spring会自动的用户的访问级别.  
  44.         也可以理解成:以后我们和数据库操作就是通过customUserDetailsService来进行关联.  
  45.      -->  
  46.     <bean id="customUserDetailsService" class="com.demo.service.CustomUserDetailsService"/>  
  47.       
  48. </beans>  

 

 

分析:

(一)

这里/auth/login的权限为permitAll,表示所有人都可以访问此页面;/main/admin的权限为ROLE_ADMIN,表示属于ROLE_ADMIN角色的用户才有权访问此页面;/main/common的权限为ROLE_USER,表示属于ROLE_USER的用户才有权访问此页面。

 

需要注意的是我们使用了SpringEL表达式来指定角色的访问.

以下是表达式对应的用法:

hasRole([role])返回 true 如果当前主体拥有特定角色。

hasAnyRole([role1,role2])返回 true 如果当前主体拥有任何一个提供的角色 (使用逗号分隔的字符串队列)

principal 允许直接访问主体对象,表示当前用户

authentication允许直接访问当前 Authentication对象 从SecurityContext中获得

permitAll 一直返回true

denyAll 一直返回false

isAnonymous()如果用户是一个匿名登录的用户 就会返回 true

isRememberMe()如果用户是通过remember-me 登录的用户 就会返回true

isAuthenticated()如果用户不是匿名用户就会返回true

isFullyAuthenticated()如果用户不是通过匿名也不是通过remember-me登录的用户时, 就会返回true。

 

(二)

 

[html] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <security:form-login  
  2.         login-page="/auth/login"  
  3.         authentication-failure-url="/auth/login?error=true"  
  4.         default-target-url="/main/common"/>  

表示通过 /auth/login这个映射进行登录. 

 

如果验证失败则返回一个URL:/auth/login?error=true 
如果登录成功则默认指向:/main/common

 

(三)

 

[html] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <security:logout  
  2.                 invalidate-session="true"  
  3.                 logout-success-url="/auth/login"  
  4.                 logout-url="/auth/logout"/>  

这里我们开启了session失效功能。注销URL为:/auth/logout;注销成功后转向:/auth/login。

 

 

(四)

 

[html] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <bean id="customUserDetailsService" class="com.demo.service.CustomUserDetailsService"/>  

 

一个自定义的CustomUserDetailsService,是实现SpringSecurity的UserDetailsService接口,但我们重写了他即便于我们进行数据库操作.

 

6 loginpage.jsp

 

[plain] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>  
  2. <%@ taglib uri="http://www.springframework.org/tags/form" prefix="form"%>  
  3. <%@ taglib uri="http://www.springframework.org/tags" prefix="spring"%>  
  4.   
  5. <%@ page language="java" contentType="text/html; charset=UTF-8"  
  6.     pageEncoding="UTF-8"%>  
  7. <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  
  8. <html>  
  9. <head>  
  10. <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">  
  11. <title>Insert title here</title>  
  12. </head>  
  13. <body>  
  14.   
  15.     <h1>Login</h1>  
  16.   
  17.     <div id="login-error">${error}</div>  
  18.   
  19.     <form action="../j_spring_security_check" method="post">  
  20.   
  21.         <p>  
  22.             <label for="j_username">Username</label> <input id="j_username"  
  23.                 name="j_username" type="text" />  
  24.         </p>  
  25.   
  26.         <p>  
  27.             <label for="j_password">Password</label> <input id="j_password"  
  28.                 name="j_password" type="password" />  
  29.         </p>  
  30.   
  31.         <input type="submit" value="Login" />  
  32.   
  33.     </form>  
  34.   
  35. </body>  
  36. </html>  

 

 

7 commonpage.jsp

 

[plain] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <%@ page language="java" contentType="text/html; charset=UTF-8"  
  2.     pageEncoding="UTF-8"%>  
  3. <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  
  4. <html>  
  5. <head>  
  6. <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">  
  7. <title>Insert title here</title>  
  8. </head>  
  9. <body>  
  10.     <h1>Common Page</h1>  
  11.     <p>每个人都能访问的页面.</p>  
  12.     <a href="/spring-security-demo/main/admin"> Go AdminPage </a>  
  13.     <br />  
  14.     <a href="/spring-security-demo/auth/login">退出登录</a>  
  15.   
  16. </body>  
  17. </html>  

 

 

8 adminpage.jsp

 

[plain] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <%@ page language="java" contentType="text/html; charset=UTF-8"  
  2.     pageEncoding="UTF-8"%>  
  3. <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  
  4. <html>  
  5. <head>  
  6. <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">  
  7. <title>Insert title here</title>  
  8. </head>  
  9. <body>  
  10.     <h1>Admin Page</h1>  
  11.     <p>管理员页面</p>  
  12.     <a href="/spring-security-demo/auth/login">退出登录</a>  
  13. </body>  
  14. </html>  

 

 

9 deniedpage.jsp

 

[plain] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. <%@ page language="java" contentType="text/html; charset=UTF-8"  
  2.     pageEncoding="UTF-8"%>  
  3. <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  
  4. <html>  
  5. <head>  
  6. <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">  
  7. <title>Insert title here</title>  
  8. </head>  
  9. <body>  
  10.     <h1>你的权限不够!</h1>  
  11.     <p>只有拥有Admin权限才能访问!</p>  
  12.     <a href="/spring-security-demo/auth/login">退出登录</a>  
  13. </body>  
  14. </html>  

 

 

10 数据模型DbUser.Java

 

[java] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. package com.demo.domain;  
  2.   
  3. public class DbUser {  
  4.   
  5.     private String username;  
  6.     private String password;  
  7.     private Integer access;  
  8.   
  9.     public String getUsername() {  
  10.         return username;  
  11.     }  
  12.   
  13.     public void setUsername(String username) {  
  14.         this.username = username;  
  15.     }  
  16.   
  17.     public String getPassword() {  
  18.         return password;  
  19.     }  
  20.   
  21.     public void setPassword(String password) {  
  22.         this.password = password;  
  23.     }  
  24.   
  25.     public Integer getAccess() {  
  26.         return access;  
  27.     }  
  28.   
  29.     public void setAccess(Integer access) {  
  30.         this.access = access;  
  31.     }  
  32.   
  33. }  

 

 

11 UserDao.java,通过一个初始化的List来模拟数据库操作

 

[java] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. package com.demo.dao;  
  2.   
  3. import java.util.ArrayList;  
  4. import java.util.List;  
  5.   
  6. import org.apache.log4j.Logger;  
  7. import com.demo.domain.DbUser;  
  8.   
  9. public class UserDao {  
  10.   
  11.     protected static Logger logger = Logger.getLogger("dao");  
  12.   
  13.     public DbUser getDatabase(String username) {  
  14.   
  15.         List<DbUser> users = internalDatabase();  
  16.   
  17.         for (DbUser dbUser : users) {  
  18.             if (dbUser.getUsername().equals(username) == true) {  
  19.                 logger.debug("User found");  
  20.                 return dbUser;  
  21.             }  
  22.         }  
  23.         logger.error("User does not exist!");  
  24.         throw new RuntimeException("User does not exist!");  
  25.   
  26.     }  
  27.   
  28.     /** 
  29.      * 初始化数据 
  30.      */  
  31.     private List<DbUser> internalDatabase() {  
  32.   
  33.         List<DbUser> users = new ArrayList<DbUser>();  
  34.         DbUser user = null;  
  35.   
  36.         user = new DbUser();  
  37.         user.setUsername("admin");  
  38.   
  39.         // "admin"经过MD5加密后  
  40.         user.setPassword("21232f297a57a5a743894a0e4a801fc3");  
  41.         user.setAccess(1);  
  42.   
  43.         users.add(user);  
  44.   
  45.         user = new DbUser();  
  46.         user.setUsername("user");  
  47.   
  48.         // "user"经过MD5加密后  
  49.         user.setPassword("ee11cbb19052e40b07aac0ca060c23ee");  
  50.         user.setAccess(2);  
  51.   
  52.         users.add(user);  
  53.   
  54.         return users;  
  55.   
  56.     }  
  57. }  

 

 

12 CustomUserDetailsService.java,自定义UserDetailsService,可以通过继承UserDetailsService来达到灵活的自定义UserDetailsService

 

[java] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. package com.demo.service;  
  2.   
  3. import java.util.ArrayList;  
  4. import java.util.Collection;  
  5. import java.util.List;  
  6.   
  7. import org.apache.log4j.Logger;  
  8. import com.demo.dao.UserDao;  
  9. import com.demo.domain.DbUser;  
  10. import org.springframework.dao.DataAccessException;  
  11. import org.springframework.security.core.GrantedAuthority;  
  12. import org.springframework.security.core.authority.GrantedAuthorityImpl;  
  13. import org.springframework.security.core.userdetails.User;  
  14. import org.springframework.security.core.userdetails.UserDetails;  
  15. import org.springframework.security.core.userdetails.UserDetailsService;  
  16. import org.springframework.security.core.userdetails.UsernameNotFoundException;  
  17.   
  18. /** 
  19.  * 一个自定义的service用来和数据库进行操作. 即以后我们要通过数据库保存权限.则需要我们继承UserDetailsService 
  20.  *  
  21.  */  
  22. public class CustomUserDetailsService implements UserDetailsService {  
  23.   
  24.     protected static Logger logger = Logger.getLogger("service");  
  25.   
  26.     private UserDao userDAO = new UserDao();  
  27.   
  28.     public UserDetails loadUserByUsername(String username)  
  29.             throws UsernameNotFoundException, DataAccessException {  
  30.   
  31.         UserDetails user = null;  
  32.   
  33.         try {  
  34.   
  35.             // 搜索数据库以匹配用户登录名.  
  36.             // 我们可以通过dao使用JDBC来访问数据库  
  37.             DbUser dbUser = userDAO.getDatabase(username);  
  38.   
  39.             // Populate the Spring User object with details from the dbUser  
  40.             // Here we just pass the username, password, and access level  
  41.             // getAuthorities() will translate the access level to the correct  
  42.             // role type  
  43.   
  44.             user = new User(dbUser.getUsername(), dbUser.getPassword()  
  45.                     .toLowerCase(), true, true, true, true,  
  46.                     getAuthorities(dbUser.getAccess()));  
  47.   
  48.         } catch (Exception e) {  
  49.             logger.error("Error in retrieving user");  
  50.             throw new UsernameNotFoundException("Error in retrieving user");  
  51.         }  
  52.   
  53.         return user;  
  54.     }  
  55.   
  56.     /** 
  57.      * 获得访问角色权限 
  58.      *  
  59.      * @param access 
  60.      * @return 
  61.      */  
  62.     public Collection<GrantedAuthority> getAuthorities(Integer access) {  
  63.   
  64.         List<GrantedAuthority> authList = new ArrayList<GrantedAuthority>(2);  
  65.   
  66.         // 所有的用户默认拥有ROLE_USER权限  
  67.         logger.debug("Grant ROLE_USER to this user");  
  68.         authList.add(new GrantedAuthorityImpl("ROLE_USER"));  
  69.   
  70.         // 如果参数access为1.则拥有ROLE_ADMIN权限  
  71.         if (access.compareTo(1) == 0) {  
  72.             logger.debug("Grant ROLE_ADMIN to this user");  
  73.             authList.add(new GrantedAuthorityImpl("ROLE_ADMIN"));  
  74.         }  
  75.   
  76.         return authList;  
  77.     }  
  78. }  

 

 

13 控制器LoginController.java

 

[java] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. package com.demo.controller;  
  2.   
  3. import org.apache.log4j.Logger;  
  4. import org.springframework.stereotype.Controller;  
  5. import org.springframework.ui.ModelMap;  
  6. import org.springframework.web.bind.annotation.RequestMapping;  
  7. import org.springframework.web.bind.annotation.RequestMethod;  
  8. import org.springframework.web.bind.annotation.RequestParam;  
  9.   
  10. @Controller  
  11. @RequestMapping("auth")  
  12. public class LoginController {  
  13.     protected static Logger logger = Logger.getLogger("controller");  
  14.   
  15.     /** 
  16.      * 指向登录页面 
  17.      */  
  18.     @RequestMapping(value = "/login", method = RequestMethod.GET)  
  19.     public String getLoginPage(  
  20.             @RequestParam(value = "error", required = false) boolean error,  
  21.             ModelMap model) {  
  22.   
  23.         logger.debug("Received request to show login page");  
  24.   
  25.         if (error == true) {  
  26.             // Assign an error message  
  27.             model.put("error",  
  28.                     "You have entered an invalid username or password!");  
  29.         } else {  
  30.             model.put("error", "");  
  31.         }  
  32.         return "loginpage";  
  33.     }  
  34.   
  35.     /** 
  36.      * 指定无访问额权限页面 
  37.      *  
  38.      * @return 
  39.      */  
  40.     @RequestMapping(value = "/denied", method = RequestMethod.GET)  
  41.     public String getDeniedPage() {  
  42.   
  43.         logger.debug("Received request to show denied page");  
  44.   
  45.         return "deniedpage";  
  46.     }  
  47. }  

 

该controller有两个mapping映射

main/common

main/admin

现在我们将同过Spring Security框架实现成功登陆的人都能访问到main/common,但只有拥有admin权限的用户才能访问main/admin。

 

14 控制器MainController.java

 

[java] view plain copy
 
 在CODE上查看代码片派生到我的代码片
  1. package com.demo.controller;  
  2.   
  3. import org.apache.log4j.Logger;  
  4. import org.springframework.stereotype.Controller;  
  5. import org.springframework.web.bind.annotation.RequestMapping;  
  6. import org.springframework.web.bind.annotation.RequestMethod;  
  7.   
  8. @Controller  
  9. @RequestMapping("/main")  
  10. public class MainController {  
  11.     protected static Logger logger = Logger.getLogger("controller");  
  12.   
  13.     /** 
  14.      * 跳转到commonpage页面 
  15.      *  
  16.      * @return 
  17.      */  
  18.     @RequestMapping(value = "/common", method = RequestMethod.GET)  
  19.     public String getCommonPage() {  
  20.         logger.debug("Received request to show common page");  
  21.         return "commonpage";  
  22.     }  
  23.   
  24.     /** 
  25.      * 跳转到adminpage页面 
  26.      *  
  27.      * @return 
  28.      */  
  29.     @RequestMapping(value = "/admin", method = RequestMethod.GET)  
  30.     public String getAadminPage() {  
  31.         logger.debug("Received request to show admin page");  
  32.         return "adminpage";  
  33.   
  34.     }  
  35.   
  36. }  

 

 

四、运行结果

1 启动spring-security-demo程序

 

2 在浏览器里输入http://localhost:8080/spring-security-demo/auth/login

 

3 输入用户名admin密码admin后,点击“Login”按纽

 

 

 

4 点击“Go AdminPage”链接,因为有权限,所以可看到管理员页面

 

5 点击“退出登录”,返回登录页

 

6 输入用户名user密码user并登录

 

 

 

7 点击Go AdminPage链接,因为没有权限,所以看到权限不够的提示

 

8 退出登录,返回登录页

 

五、源码下载地址

CSDN: http://download.csdn.net/detail/haishu_zheng/9555916

Github: https://github.com/zhenghaishu/Spring-Security-Demo

posted @ 2017-04-19 12:00  爱你爱自己  阅读(341)  评论(0编辑  收藏  举报