2. 程式人生 > >Spring security 自定義登入與許可權控制

Spring security 自定義登入與許可權控制

阿新 發佈:2019-01-30

一、先說必要的配置檔案:

1、web.xml檔案新增上

<!-- Spring Security 許可權框架 -->
<filter>
   <filter-name>springSecurityFilterChain</filter-name>
   <filter-class>
org.springframework.web.filter.DelegatingFilterProxy
   </filter-class>
</filter>
<filter-mapping>
   <filter-name>
 
springSecurityFilterChain</filter-name>
   <url-pattern>/*</url-pattern>
</filter-mapping>

2、application-context.xml配置檔案

在application-context配置檔案中加入spring security配置檔案的引用:

<?xml version="1.0" encoding="UTF-8"?>
<beans ......>   <bean>
<!-- Connection Info --> ......此處省略

 
   </bean>
   <bean id="viewResolver" class="org.springframework.web.servlet.view.velocity.VelocityViewResolver">
     ......<!-- if you want to use the Spring Velocity macros, set this property to true -->
<property name="exposeSpringMacroHelpers" value="true"/>
     <property 
 
name="contentType" value="text/html;charset=UTF-8"></property>
      <property name="toolboxConfigLocation">
      <value>/WEB-INF/toolbox.xml</value>
      </property>
    </bean>
<import resource="/securityConfig.xml"/></beans>

3、securityConfig.xml檔案:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans 
             http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
         http://www.springframework.org/schema/security 
         http://www.springframework.org/schema/security/spring-security-3.2.xsd">
<!--use-expressions="true" 的意思是開啟表示式 , access-denied-page的意思是,當驗證許可權失敗後會跳轉到的頁面 -->
<security:http auto-config="true" use-expressions="true" access-denied-page="/denied">      <!-- 對所有的資源,進行許可權的設定訪問-->
      <!-- 所有人都可以訪問資原始檔 -->
<security:intercept-url pattern="/login" access="permitAll" />
      <security:intercept-url pattern="/logout" access="permitAll" />
      <security:intercept-url pattern="/slr/prd/**" access="hasAnyRole('SHOW_PRD','ADD_PRD','MOD_PRD','DEL_PRD')" />
      <security:intercept-url pattern="/slr/order/**" access="hasAnyRole('SHOW_ORD','CONFIRM_ORD','CANCEL_ORD')" />
      <security:intercept-url pattern="/slr/mgm/**" access="hasAnyRole('SHOW_ACCT','ADD_ACCT','MOD_ACCT','DEL_ACCT')" />
      <!-- 配置登入頁面為login ,登入成功預設跳轉到welcome -->
      <security:form-login login-page="/login" default-target-url="/welcome"/>
      <security:session-management session-authentication-strategy-ref="concurrentSessionControlStrategy" />
   </security:http>
   <!--&lt;!&ndash; 阻止多端登入 &ndash;&gt;-->
   <bean id="concurrentSessionControlStrategy" class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">
       <constructor-arg name="sessionRegistry" ref="sessionRegistry" />
       <property name="maximumSessions" value="1"></property>
   </bean>
   <bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" />
   <!-- 配置一個認證管理器 -->
   <security:authentication-manager alias="authenticationManager">
<!-- 使用自定義的UserDetailService -->
<security:authentication-provider user-service-ref="userDetailsService">
      <security:password-encoder ref="passwordEncoder"/>
      </security:authentication-provider>
   </security:authentication-manager>
   <!--&lt;!&ndash; 對密碼進行MD5編碼 &ndash;&gt;-->
<bean class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" id="passwordEncoder"/>
<!--  通過 userDetailsService,Spring會自動的定義使用者的訪問級別.   -->
   <bean id="userDetailsService" class="com.security.UserDetailsServiceImpl" />
</beans>


4、toolbox.xml檔案:

<toolbox>
   <data type="string">
      <key>version</key>
      <value>1.3</value>
   </data>
   ......
   <tool>
      <key>sec</key>
      <scope>request</scope>
      <class>com.security.SecurityVelocity</class>
   </tool>
</toolbox>

這樣在vm介面中就可以直接使用啦~

#if($sec.hasAnyRole("SHOW_PRD","ADD_PRD","MOD_PRD","DEL_PRD"))
          <h2>商品管理</h2>
          <ul>
              <li><a href="/slr/prd/list">商品管理</a></li>
          </ul>
#end

二、配置檔案中的hasAnyRole()方法和UserDetailService的實現

1.SecurityVelocity.java:

public class SecurityVelocity {
   
   public boolean hasAnyRole(String ...roles) {
      return isRole(roles);
}
   
    /***
     * 前端傳入陣列引數
* @param viewRole 可變陣列 1個或者多個
* @return 是否有許可權
*/
private boolean isRole(String ...roles){
       /** 前端陣列為空 */
if(null == roles || roles.length <= 0){
          return false;
}
       /** 獲取當前使用者登入物件 */
UserDetails userDetails = null;
       try {
          userDetails = (UserDetails) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
} catch (Exception e) {
         return false;
}
       if(null == userDetails){
          return false;
}
       /** 獲取當前使用者登入物件所有許可權 */
Collection<? extends GrantedAuthority> authorities = userDetails.getAuthorities();
      if(null == authorities){
         return false;
}
      boolean flag = false;
Iterator<? extends GrantedAuthority> iter = authorities.iterator();
      while (iter.hasNext()) {
         GrantedAuthority grantedAuthority = iter.next();
/**遍歷前端列表的所有角色*/
for (String vr : roles) {
            if(vr.equals(grantedAuthority.getAuthority())){
               flag = true;
               break;
}
         }
         if (flag) break; // 已經匹配上角色了則不再需要匹配其它角色。
}
      return flag;
}
}

2.UserDetailServiceImpl.java

public class UserDetailsServiceImpl implements UserDetailsService {@Autowired
private UserAuthService userAuthService;
@Autowired
private UserService userService;
   public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
      
      User securityUser = null;
      UserVo mngVo = userService.getSellerByMobile(userName);
//許可權設定Collection<GrantedAuthority> grantedAuthorities = this.getGrantedAuthorities(mngVo);
        boolean enables = true;  
        boolean accountNonExpired = true;  
        boolean credentialsNonExpired = true;  
        boolean accountNonLocked = true; 
securityUser = new User(mngVo.getId().toString(), mngVo.getPassword(),
enables, accountNonExpired, credentialsNonExpired, accountNonLocked, grantedAuthorities);  
        return securityUser;
}
   
   
   /**
     * 根據使用者獲取該使用者擁有的許可權
* @param user 當前使用者
* @return 使用者角色集合
*/
private Set<GrantedAuthority> getGrantedAuthorities(SellerVo user) {
        Set<GrantedAuthority> grantedAuthorities = new HashSet<GrantedAuthority>();
        if(null != user){
            List<AuthorityVo> auths = userAuthService.getUserRoleListByUserId(user.getId());
             if(null != auths && auths.size() > 0 ) {
                 for(AuthorityVo auth : auths) {
                     grantedAuthorities.add(new SimpleGrantedAuthority(auth.getCode()+""));
}  
             }
        }
        return grantedAuthorities;  
}
   

}

這個類主要是在登入時呼叫來設定使用者許可權資訊的。

三:自己登入邏輯與springsecurity結合

public class LoginController extends BaseController {    ......
// show login page
@RequestMapping("login")
    public String index(Model model, HttpServletRequest request, HttpServletResponse response) {        
       // 判斷登入狀態是否還有效,有效的話自動登入
final UserVo  Vo = getLoginUser(request);
       if (userVo != null && userVo.getId() != null) {
  //登入資訊有效需要將許可權資訊放入SecurityContextHolder的上下文資訊中心,否則可能會造成迴圈重定向,伺服器報錯。
  Authentication authentication = (Authentication) request.getAttribute(CommonConstants.USER_AUTH);
SecurityContextHolder.getContext().setAuthentication(authentication);
// redirect to homepage
return "redirect:/";
}

//返回登入頁        return LOGIN;
}

    // do login action
@RequestMapping("do_login")
    public String doLogin(Model model, HttpServletResponse response, HttpServletRequest request, 
String mobile, String password) {log.info("User input data: mobile = " + mobile);if (StringUtils.isEmpty(mobile) || StringUtils.isEmpty(password)) {
          model.addAttribute("msg", "請輸入手機號和密碼!");
            return INDEX;
}
       ......      try {UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(mobile, password);

	 //呼叫loadUserByUsername設定許可權資訊
Authentication authentication = authenticationManager.authenticate(authRequest); 
SecurityContextHolder.getContext().setAuthentication(authentication);log.info("恭喜使用者  " + mobile() + " 登入成功。");         ......
 response.sendRedirect('上一次訪問的頁面或welcome');
} catch (IOException ex) { log.warn("Error happened");} return INDEX;

四、登入頁login.vm

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登入頁</title>
......</head><body> <div> <p>登入</p> </div> <div> <div> <form id="loginForm" name="loginForm" action="/do_login" METHOD="post" > <h2><!-- a href="$!{base}/register">免費註冊</a -->商家登入</h2> <p id="y_lg_02">$!{msg}</p> <div><input type="text" placeholder="手機號" value="$!{mobile}"/></div> <div><input type="password" placeholder="" value="$!{password}"/></div> <p><input type="checkbox"/><em>自動登入</em></p> <input type="submit" value="立即登入"/> </form> </div> </div></body></html>

五、注意點:

用spring security預設的登入,登入頁的form的action="/manage/j_spring_security_check"這樣寫,預設會呼叫UsernamePasswordAuthenticationFilter中的驗證資訊。

自己寫的登入邏輯主要是要把驗證資訊寫入到spring security的上下文中,三行主要的程式碼如下:

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(mobile, password);
//呼叫loadUserByUsername設定許可權資訊         
Authentication authentication = authenticationManager.authenticate(authRequest); 
         SecurityContextHolder.getContext().setAuthentication(authentication);

對於自動登入的,需要把許可權也放入spring security上下文中,但是生成 UsernamePasswordAuthenticationToken物件需要密碼的明文,這裡我是把它放在快取中,是自動登入的直接從快取中取出來放進spring security上下文中。

final UserVo  Vo = getLoginUser(request);
       if (userVo != null && userVo.getId() != null) {
//登入資訊有效需要將許可權資訊放入SecurityContextHolder的上下文資訊中心,否則可能會造成迴圈重定向,伺服器報錯。
          Authentication authentication = (Authentication) request.getAttribute(CommonConstants.USER_AUTH);
          SecurityContextHolder.getContext().setAuthentication(authentication);
          // redirect to homepage
          return "redirect:/";
       }

自動登入開始把許可權也放入spring security上下文中,結果出現了迴圈重定向,是因為之前選擇了自動登入,則if條件為true,這時重定向的/login,又開始執行登入頁面的程式碼,造成了重定向死迴圈。

看到別人寫的一篇好文,有助於理解:http://blog.csdn.net/zy_cookie/article/details/49535413

相關推薦

Spring security 定義登入許可權控制

一、先說必要的配置檔案: 1、web.xml檔案新增上 <!-- Spring Security 許可權框架 --> <filter> <filter-name>springSecurityFilterChain</filt

Spring Security 定義登入驗證定義回撥地址

1 配置檔案 security-ns.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/b

spring實戰-Spring-security定義登入登出、防csrf攻擊及檢視保護

第十篇:Spring-security自定義登入登出、防csrf攻擊及檢視保護 這是Spring及SpringMVC的最後一篇,本次主要演示SpringSecurity更使用的示例,如自定義的登入頁面,系統登出,防止CSRF跨站攻擊,以及檢視保護檢視保護可以定義到按鈕級別的許可權 先看自

Spring Security 定義登入介面

一、Spring Security 簡介 Spring 是一個非常流行和成功的 Java 應用開發框架。Spring Security 基於 Spring 框架,提供了一套 Web 應用安全性的完整解決方案。 一般來說,Web 應用的安全性包括使用者認證(A

Spring AOP定義註解實現許可權控制

1.建立註解類,controller控制層使用該註解進行許可權控制使用 import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.R

Spring Security 定義登入認證(二)

一、前言 本篇文章將講述Spring Security自定義登入認證校驗使用者名稱、密碼,自定義密碼加密方式,以及在前後端分離的情況下認證失敗或成功處理返回json格式資料 溫馨小提示:Spring Security中有預設的密碼加密方式以及登入使用者認證校驗,但小編這裡選擇自定義是為了方便以後業務擴充套件,

spring boot spring security 定義 filter FilterSecurityInterceptor 訪問資源 靜態資源 和 不需要許可權訪問都失效了

問題:spring boot security 中, filters="none"  對應哪個? 自定義AbstractSecurityInterceptor後  靜態資源也進入攔截器,登陸頁面,permitall 也失效, 還是進

Spring+MyBatis實踐——登入許可權控制

  通過session來實現使用者登入功能。在使用者登入時,將使用者的相關資訊放在HttpSession物件用,其中HttpSession物件可以通過HttpServletRequest的getSession方法獲得。同時,HttpSession物件對應Jsp內建物件session,在jsp頁面中也可以通過

Spring Security定義登錄頁面

Spring Security自定義登錄自定義登錄頁面,中心思想是配置form-login標簽的屬性,並且配置過濾條件,可以直接配置頁面,也可以配置Action <http pattern="/css/**" security="none"/> <h

spring boot 定義登入攔截器

        最近在努力學習spring boot中,這裡記錄一下攔截器的相關知識,在spring boot中,寫一個自定義的攔截器類,用於攔截不通過登入之後而進行的非法訪問,攔截的操作,也是日常專案中,都要用到的,不多說了,看正文。   &n

Spring boot 定義屬性載入

自定義屬性與載入 我們在使用Spring Boot的時候,通常也需要定義一些自己使用的屬性,我們可以如下方式直接定義: com.didispace.blog.name=程式猿DD com.didispace.blog.title=Spring Boot教程

spring-security 定義登入校驗

1.為何要做自定義登入頁面以及校驗在專案中配置了spring-security的模組的專案中,spring boot會預設幫我們生成的一個簡潔的登入頁面,它會在我們訪問任何請求的時候彈出來 使用者名稱是預設的:user,密碼是需要我們找到我們啟動專案時的日誌,裡面會隨機生成一個預設的密碼輸入之後就可以訪

Spring Boot中使用Spring Security定義驗證

因為網上關於這個springboot+security自定義驗證有好多寫的有點雜亂,在仿寫的過程中總是出現莫名其妙的bug,所以專門寫一篇最基礎的出來。 本篇還是使用熟悉的springboot+mybatis+thymeleaf來搭最基礎的架構,當然不用資

spring security起步三:定義登入配置form-login屬性詳解

在上一篇部落格spring security起步二:自定義登入頁中我們實現瞭如何自定義登入頁,但是還存在很多問題: 1.spring security如何對登入請求進行攔截 2.登入成功後如何跳轉 3.登入失敗後如何跳轉 form-login屬性詳解

idea+maven + spring security +springmvc入門 (定義登入頁面),附idea如何建立web專案

第一次使用idea,上午在eclipse中 學習了spring security 入門,下午試試在idea中搭建。 剛開始 我以為 直接將eclipse的 檔案 copy過來就行了,結果發現copy過來以後 各種報錯。 後來把m

Spring Security教程(10)---- 定義登入成功後的處理程式及修改預設驗證地址

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Spring Security教程(四):定義登入

在前面的例子中,登陸頁面都是用的Spring Security自己提供的,這明顯不符合實際開發場景,同時也沒有退出和登出按鈕,因此在每次測試的時候都要通過關閉瀏覽器來登出達到清除session的效果。 一、自定義頁面 login.jsp: <%@ page language="

Spring boot+Security OAuth2 定義登入和授權頁面

Spring boot+Security OAuth2 自定義登入和授權頁面   1. 依賴 <!---------thymeleaf 模板引擎--------> <dependency> <groupId>org.springfra

spring-security 個性化使用者認證流程——定義登入頁面(可配置)

1.定義自己的登入頁面我們需要根據自己的業務系統構建自己的登入頁面以及登入成功、失敗處理在spring security提供給我的登入頁面中,只有使用者名稱、密碼框,而自帶的登入成功頁面是空白頁面(可以重定向之前請求的路徑中),而登入失敗時也只是提示使用者被鎖定、過期等資訊。 在實際的開發中,則需要更

簡單的Spring Security例項(定義登入驗證)

Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Contr