SpringSecurity快速入门
- 一、 SpringSecurity快速入门--环境搭建
- 1. pom.xml导入坐标
- 2. 配置web.xml
- 3. 配置spring-security.xml
- 二、项目运行
- 1. 页面成功运行
- 2. user登录
- 3. admin登录
- 三、自定义登录页面
- 1. 修改spring-security.xml
- 2. web.xml不变
- 3. 新建需要页面
- 1. login.html
- 2. failer.html
- 3. success.html
- 四、自定义登录测试结果
- 1. 登录页面效果
- 2.admin登录测试
- 3. user登录测试
一、 SpringSecurity快速入门–环境搭建
1. pom.xml导入坐标
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>spring_security</groupId>
<artifactId>itboywh/github</artifactId>
<version>1.0-SNAPSHOT</version>
<packaging>war</packaging>
<properties>
<spring.version>5.2.6.RELEASE</spring.version>
<spring.security.version>5.0.1.RELEASE</spring.security.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-core</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context-support</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-test</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-jdbc</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>javax.servlet-api</artifactId>
<version>3.1.0</version>
<scope>provided</scope>
</dependency>
</dependencies>
<build>
<finalName>itboywh/github</finalName>
<pluginManagement><!-- lock down plugins versions to avoid using Maven defaults (may be moved to parent pom) -->
<plugins>
<plugin>
<artifactId>maven-clean-plugin</artifactId>
<version>3.1.0</version>
</plugin>
<!-- see http://maven.apache.org/ref/current/maven-core/default-bindings.html#Plugin_bindings_for_war_packaging -->
<plugin>
<artifactId>maven-resources-plugin</artifactId>
<version>3.0.2</version>
</plugin>
<plugin>
<artifactId>maven-compiler-plugin</artifactId>
<version>3.8.0</version>
</plugin>
<plugin>
<artifactId>maven-surefire-plugin</artifactId>
<version>2.22.1</version>
</plugin>
<plugin>
<artifactId>maven-war-plugin</artifactId>
<version>3.2.2</version>
</plugin>
<plugin>
<artifactId>maven-install-plugin</artifactId>
<version>2.5.2</version>
</plugin>
<plugin>
<artifactId>maven-deploy-plugin</artifactId>
<version>2.8.2</version>
</plugin>
</plugins>
</pluginManagement>
</build>
</project>
2. 配置web.xml
<!DOCTYPE web-app PUBLIC
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd" >
<!DOCTYPE web-app PUBLIC
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd" >
<web-app>
<display-name>Archetype Created Web Application</display-name>
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<!--解决中文乱码-->
<filter>
<filter-name>characterEncodingFilter</filter-name>
<filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>characterEncodingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
3. 配置spring-security.xml
<?xml
version="1.0"
encoding="UTF-8"?>
<beans
xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!-- auto-config="true" 自动配置。ture自动应用一些默认配置,比如框架提供的默认登录页面
use-expressions="false" 是否使用spring security 提供的表达式描述-->
<security:http auto-config="true" use-expressions="false">
<!-- intercept-url 定义一个过滤规则
pattern 表示对哪些 url 进行权限控制, ccess 属性表示在请求对应 的 URL 时需要什么权限,
默认配置时它应该是一个以逗号分隔的角色列表,
请求的用户只需拥有其中的一个角色就能成功访问对应的URL
access访问:指定所需的的角色或访问权限-->
<security:intercept-url pattern="/**" access="ROLE_USER"/>
<!--auto-config配置后,不需要在配置下面信息<security:form-login/>
定义登录表单信息
<security:http-basic/>
<security:logout/>-->
</security:http>
<!--authentication-manager 认证管理器
user 定义用户信息,可以指定用户名,密码,角色,后期可以从数据查询用户信息
noop 当前使用的密码为明文 -->
<security:authentication-manager>
<security:authentication-provider>
<security:user-service>
<security:user
name="user"
password="{noop}user"
authorities="ROLE_USER"/>
<security:user
name="admin"
password="{noop}admin"
authorities="ROLE_ADMIN"/>
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
</beans>
别忘了将项目配置到tomcat里面哦。
二、项目运行
1. 页面成功运行
2. user登录
3. admin登录
注意:
- user和admin的密码是我们在spring-security配置明文密码,分别是user和admin
- 当我们访问index.html页面时发现会弹出登录窗口,可能你会奇怪,我们没有建立下面的登录页面,为什么SpringSecurity会跳到上面的登录页面呢?这是我们设置http的auto-config=”true”时Spring Security自动为我们生成的。
- 出现403权限不足,是因为我们在spring-security配置只让user来访问
<security:intercept-url pattern="/**" access="ROLE_USER"/>
三、自定义登录页面
1. 修改spring-security.xml
<?xml
version="1.0"
encoding="UTF-8"?>
<beans
xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!-- auto-config="true" 自动配置。ture自动应用一些默认配置,比如框架提供的默认登录页面
use-expressions="false" 是否使用spring security 提供的表达式描述-->
<security:http auto-config="true" use-expressions="false">
<!-- intercept-url 定义一个过滤规则
pattern 表示对哪些 url 进行权限控制, ccess 属性表示在请求对应 的 URL 时需要什么权限,
默认配置时它应该是一个以逗号分隔的角色列表,
请求的用户只需拥有其中的一个角色就能成功访问对应的URL
access访问:指定所需的的角色或访问权限-->
<security:intercept-url pattern="/**" access="ROLE_USER"/>
<!--auto-config配置后,不需要在配置下面信息<security:form-login/>
定义登录表单信息
<security:http-basic/>
<security:logout/>-->
</security:http>
<!--authentication-manager 认证管理器
user 定义用户信息,可以指定用户名,密码,角色,后期可以从数据查询用户信息
noop 当前使用的密码为明文 -->
<security:authentication-manager>
<security:authentication-provider>
<security:user-service>
<security:user name="user" password="{noop}user"
authorities="ROLE_USER"/>
<security:user name="admin" password="{noop}admin"
authorities="ROLE_ADMIN"/>
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
</beans>
2. web.xml不变
3. 新建需要页面
1. login.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="login" method="post">
<table>
<tr>
<td>用户名:</td>
<td><input type="text" name="username"/>
</td>
</tr>
<tr>
<td>密码:</td>
<td><input type="password" name="password"/>
</td>
</tr>
<tr>
<td colspan="2" align="center">
<input type="submit" value="登录"/>
<input type="reset" value="重置"/></td>
</tr>
</table>
</form>
</body>
</html>
2. failer.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h3>登录失败</h3>
</body>
</html>
3. success.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h3>success</h3> <br>
<a href="logout">退出</a>
</body>
</html>
注意
这几个页面要和spring-security.xml配置相对应,项目启动会跳转到 longin.html,输入用户密码正确的话会跳转到success,登录错误会跳到failer.html.
<!-- 自定义登陆页面,login-page 自定义登陆页面 authentication-failure-url 用户权限校验失败之 后才会跳转到这个页面,如果数据库中没有这个用户则不会跳转到这个页面。 default-target-url 登陆成功后跳转的页面。 注:登陆页面用户名固定 username,密码 password,action:login -->
<security:form-login login-page="/login.html" login-processing-url="/login" username-parameter="username"
password-parameter="password" authentication-failure-url="/failer.html"
default-target-url="/success.html"/>
四、自定义登录测试结果
1. 登录页面效果
2.admin登录测试
密码输入的错误,会跳转到失败页面
输入正确密码时:admin权限不足,我们配置的任何路径都是ROLE_USER来访问
<!-- 配置资料连接,表示任意路径都需要ROLE_USER权限 -->
<security:intercept-url pattern="/**" access="ROLE_USER"/>
3. user登录测试
user输入错误密码,登录失败,跳转到failer.html页面
user输入正确密码跳转到success.html页面