《Spring Security教程系列》.初識Java 配置

原創 f6zx3qc123 2018-09-03 17:42

Java配置使用and()方法相當於XML標籤的關閉,這樣允許我們繼續配置父類節點。如果你閱讀代碼他很合理,我想配置請求驗證,並使用表單和HTTP基本身份驗證進行登錄。

Java配置和表單登錄

因此使用Java代碼配置Spring Security主要是這兩個步驟:

1、創建過濾器

2、註冊過濾器。

1.第一步創建過濾器

這段配置創建一個Servlet Filter:springSecurityFilterChain,其負責應用中的所有安全,包括:保護應用的URLS,驗證提交的username和password,重定向到登錄頁面等。通過以下代碼可以看到使用Java配置Spring Security的基礎案例:


@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter{

@Autowired

public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

auth

.inMemoryAuthentication()

.withUser("user").password("password").roles("USER");

}

}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19

方法名 configureGlobal是無關緊要的,重要的是在一個添加了 @EnableWebSecurity註解的類裏面,注入 AuthenticationManagerBuilder。這段代碼內容很少,但事實上已經做了很多的默認安全驗證,包括:

1、訪問應用中的每個URL都需要進行驗證

2、生成一個登陸表單

3、允許用戶使用username和password來登陸

4、允許用戶註銷

5、CSRF攻擊攔截

6、 Session Fixation攻擊

7、 安全Header集成

1. 1@EnableWebSecurity

當我們在任意一個類上添加了一個註解@EnableWebSecurity,就可以創建一個名爲 springSecurityFilterChain 的Filter。我們是在一個自定義的SecurityConfig類上加了這個註解。SecurityConfig類同時也繼承了WebSecurityConfigurerAdapter類,不過需要注意的是,這個過濾器的創建是通過@EnableWebSecurity完成的,與是否繼承這個類無關.

實現EnableWebSecurity的源碼中加上了@Configuration、@EnableGlobalAuthentication、@Import三個註解,所以使用@EnableWebSecurity就相當於同時加上了這三個註解。

總結: @EnableWebSecurity的作用實際上是,創建一個Spring Bean,Bean的類型是Filter,名字爲springSecurityFilterChain。只要我們保證自定義的SecuirtyConfig類,可以被Spring掃描到,就可以幫助我們創建這個Filter了。

1.2 springSecurityFilterChain 過濾器的類型是什麼

Filter的創建時通過WebSecurity對象的build方法完成的,WebSecurity由WebSecurityConfiguration創建,而WebSecurity的作用是用於創建一個類型爲FilterChainProxy的過濾器,FilterChainProxy是Filter的子類,我們所說的創建一個名字爲springSecurityFilterChain的過濾器,實際上過濾器的具體類型就是FilterChainProxy

2.註冊過濾器

下一步是註冊springSecurityFilterChain。這個可以藉助Spring3.1引入的WebApplicationInitializer完成。SpringSecurity提供了一個基類 AbstractSecurityWebApplicationInitializer來確保 springSecurityFilterChain被註冊。

項目中已經使用了SpringMvc

如果在我們的應用程序中已經使用了Spring,那麼在我們的應用中可能已經有了一個 WebApplicationInitializer來加載我們的配置,如果我們還使用之前的代碼,將會出現一個錯誤。此時我們應該在已經存在的ApplicationContext中註冊Spring Security。例如,如果我們已經使用SpringMvc,那麼我們的代碼應該是如下所示:


import org.springframework.security.web.context.*;

public class SecurityWebApplicationInitializer

        extends AbstractSecurityWebApplicationInitializer {



}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

springsecurity provider啓動順序

spring security對於用戶身份的判斷是通過一系列的過濾器來完成的,如果你採用的是自定義過濾器鏈的方式來實現自己的需求,那麼需要特別注意過濾器鏈的順序問題。 但是除了過濾器的順序,還有一個特別需要注意的,就是provider

shareCode_ 2020-07-02 11:19:57

spring boot 2.2.2 中禁用 spring security

只要在 spring boot 中加入 spring security 就會自動啓用七安全機制,默認每次訪問接口都會進行驗證。但是由於某些原因,不想使用 spring security,可以選擇禁用 spring security

ChaseDreamBoy 2020-07-07 07:25:52

(二)基於數據庫的認證與授權

環境準備 controller @RestController @RequestMapping("/api/admin") public class AdminController { @GetMapping("/hel

西红柿鸡蛋打卤面 2020-07-05 23:15:39

(一)創建簡單的Spring security 項目

參考:陳木鑫老師的《Spring Security 實戰》 創建spring boot項目 通過Intellij IDEA創建Spring Boot項目的方式有許多種,其中最簡單的方式就是使用Spring Initializr 工

西红柿鸡蛋打卤面 2020-07-05 23:15:39

spring security報錯解決:IllegalArgumentException:There is no PasswordEncoder mapped for the id "null"

報錯信息:java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id “null” 頁面毫無響應 後臺彙報錯誤:java.la

南风~~~ 2020-07-05 17:06:59

springboot 2.0 集成 Spring Security進行安全控制

添加依賴 <!-- spring security 權限框架依賴 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-

瘦_猴 2020-07-05 08:08:47

無法對自定義的securityMetadataSource進行注入

在做spring security3的另一種配置方式,測試時,無法對自定義的securityMetadataSource進行注入想要使用的dao處理,後來調試發現注入進去時null,對於注入進來的是獲取不到的,利用構造可以解決, 解決方案

steryzone 2020-07-04 17:45:55

SpringSecurityOAuth開發app認證框架

令牌的表現形式就是一個字符串 文章目錄服務提供商的實現認證服務器demo pom 文件中引入app模塊依賴 使正常啓動實現認證服務器WhaleAuthenticationSecurityConfig授權碼模式的請求參數Use

神奇小白 2020-07-04 01:46:13

使用JWT替換默認令牌token

文章目錄JSON Web Token (JWT)自包含token的創建總結密籤可擴展替換默認tokenTokenStoreConfigWhaleAuthenticationServiceConfigOAuth2Properties

神奇小白 2020-07-04 01:46:13

Spring security5 集成swagger2 無法訪問的問題。

主要還是spring security把 swagger需要訪問的URL被攔截,不只是swagger-ui.html這個URL 查找網上的解決方案沒一個好用的,然後自己在跳轉重定向的方法裏打印了引發跳轉的URL,一個一個試出來的老鐵。累屁

FS小山 2020-07-03 19:32:49

Spring Security 3.x 完整入門教程(轉)

Spring Security 3.x 出來一段時間了,跟Acegi是大不同了,與2.x的版本也有一些小小的區別,網上有一些文檔,也有人翻譯Spri

oEveryman 2020-07-03 05:57:38

Spring Security 分佈式認證

目錄標題相關介紹公共模塊認證模塊資源模塊 相關介紹 1)JWT JWT:全稱 JSON Web Token,是一個分佈式身份校驗方案,可生產 token,也可解析 token JWT生成的 token 由三部分組成: 頭部:主要

爱游戏爱动漫的肥宅 2020-07-03 05:34:24

BCrypt初體驗之加密與驗證

版權聲明:本文爲 小異常 原創文章,非商用自由轉載-保持署名-註明出處,謝謝! 本文網址:https://blog.csdn.net/sun8112133/article/details/107057062 BCryp

小异常 2020-07-02 20:33:30

關於There is no PasswordEncoder mapped for the id null的報錯

版權聲明:本文爲 小異常 原創文章,非商用自由轉載-保持署名-註明出處,謝謝! 本文網址:https://blog.csdn.net/sun8112133/article/details/107056906 最近在做 Sp

小异常 2020-07-02 20:33:29

Spring Security4.0.3源碼分析之FilterChainProxy執行過程分析

最近在學習安全框架spring Security,想弄清楚其中實現的具體步驟,於是下定決心,研究一下Spring Security源碼,這篇博客的目的是想把學習過程記錄下來。學習過程中主要參考了http://dead-knight

RobertoHuang 2020-07-01 18:11:32