前言
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。springSecurity基于 Spring AOP 和 Servlet 过滤器。其核心是一系列的过滤器链。通过各种过滤器在 Web 请求级和方法调用级处理身份确认和授权。Spring Security最主要的两个核心功能:登录认证 和授权。
一、入门
我们想要分析它的运行原理,用户名和密码被提交后,被提交到了哪里,经历了哪些认证等等,首先需要知道如何正常使用,我们先写一个入门demo,该demo暂时不涉及mysql数据库认证,只是在spring-security.xml 中配置认证管理器进行验证。
1. pom.xml 添加依赖
使用idea创建maven项目,将项目中各个文件夹首先创建好以后,我们再填充文件信息。项目如下:
项目创建好之后,添加spring-security的依赖,和spring相关核心依赖。还有,该项目以tomcat7-maven-plugin插件进行启动。
pom.xml 中的依赖集合和插件代码:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.dzb</groupId>
<artifactId>spring-security-demo</artifactId>
<version>1.0-SNAPSHOT</version>
<packaging>war</packaging>
<properties>
<webVersion>3.0</webVersion>
<spring.version>4.2.5.RELEASE</spring.version>
</properties>
<dependencies>
<!--spring相关依赖-->
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-core</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context-support</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-test</artifactId>
<version>${spring.version}</version>
</dependency>
<!--security 核心包-->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>4.1.0.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>4.1.0.RELEASE</version>
</dependency>
<!---->
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>2.5</version>
<scope>provided</scope>
</dependency>
</dependencies>
<!--插件-->
<build>
<plugins>
<plugin>
<artifactId>maven-compiler-plugin</artifactId>
<configuration>
<source>1.8</source>
<target>1.8</target>
</configuration>
</plugin>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<configuration>
<!-- 指定端口 -->
<port>9090</port>
<!-- 请求路径 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
</build>
</project>
tomcat7-maven-plugin插件启动的方法,我在ssm个人博客中有简单描述,在此不重复了。
2. web.xml 配置
在web.xml 中配置前端控制器、读取spring-*.xml 文件配置、监听器、springsecurity 过滤器等。
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
version="2.5">
<!--前端控制器-->
<servlet>
<servlet-name>springmvc</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring*.xml</param-value>
</init-param>
</servlet>
<servlet-mapping>
<servlet-name>springmvc</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
<!--spring 文件配置-->
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring*.xml</param-value>
</context-param>
<!--监听器-->
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<!--springsecurity 过滤器.-->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
3. resources下spring-*.xml配置
本次demo中在resources文件夹下配置两个spring相关的配置文件,一个是spring-mvc.xml ,主要有注解扫描的配置、静态资源映射、视图解析器;另一个xml文件就是我们主要的spring-security.xml,该配置文件就是配置我们登陆认证的核心文件。
spring-mvc.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:p="http://www.springframework.org/schema/p"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xsi:schemaLocation="http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd">
<context:component-scan base-package="com.dzbiao"/>
<!-- 一个配置节解决映射器和适配器的配置注解配置 -->
<mvc:annotation-driven></mvc:annotation-driven>
<!-- 静态资源映射 -->
<mvc:resources mapping="/static/css/**" location="/static/css/"></mvc:resources>
<mvc:resources mapping="/static/js/**" location="/static/js/"></mvc:resources>
<mvc:resources mapping="/static/img/**" location="/static/img/"></mvc:resources>
<mvc:resources mapping="/static/fonts/**" location="/static/fonts/"></mvc:resources>
<!--视图解析器-->
<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
<property name="prefix" value="/views/"></property>
<property name="suffix" value=".jsp"></property>
</bean>
</beans>
spring-security.xml 中我们需要配置放行的路径,包括静态资源配置、登陆页面的路径放行、登陆失败的路径放行,以及页面的拦截规则,和认证管理器。
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<!--配置不拦截路径-->
<http pattern="/favicon.ico" security="none"/>
<!--静态资源放行-->
<http pattern="/static/**" security="none"/>
<!--http:登录和失败不进行拦截-->
<http pattern="/user/login" security="none"></http>
<http pattern="/login_error.html" security="none"></http>
<!-- 页面拦截规则 -->
<http use-expressions="false">
<intercept-url pattern="/**" access="ROLE_USER" />
<form-login login-page="/user/login" default-target-url="/index"
always-use-default-target="true" authentication-failure-url="/login-error"/>
<!--csrf 跨域请求伪造-->
<csrf disabled="true"/>
</http>
<!-- 认证管理器 -->
<authentication-manager>
<authentication-provider>
<user-service>
<user name="admin" password="123456" authorities="ROLE_USER"/>
<user name="root" password="root" authorities="ROLE_USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
我们看下页面拦截规则中的form-login标签的配置。在注释中解释一下:
<form-login login-page="/user/login" default-target-url="/index" always-use-default-target="true" authentication-failure-url="/login-error"/>
<!--
login-page : 登陆页路径
default-target-url :身份验证登陆成功后跳转的页面
authentication-failure-url :身份验证登陆失败后跳转的页面
username-parameter : 该用户名参数和登录表单中name="username" 要保持一致。
password-parameter :该密码参数和登录表单中name="password" 要保持一致。
-->
<!--csrf 跨域请求伪造-->
<csrf disabled="true"/>
4. controller层添加映射
我们需要在controller层中新建一个IndexController类中添加三个资源映射,一个是登录成功后的主页映射 /index,一个是 返回登录页的登录映射/user/login,一个是登录失败的页面映射/login-error ,该三个映射返回的都是jsp页面,那我们就需要在webapp下创建views 文件夹,views 文件夹下创建index.jsp,login.jsp,login_error.jsp。index.jsp和login_error.jsp 只需要写些字符串即可。主要是login.jsp的内容。
@Controller
public class IndexController {
@RequestMapping("/index")
public String index(){
System.out.println("index");
return "index" ;
}
// 登录页地址路由
@RequestMapping("/user/login")
public String login(){
System.out.println("login");
return "login" ;
}
// 错误路由
@RequestMapping("/login-error")
public String login_error(){
System.out.println("login-error");
return "login_error" ;
}
}
login.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html lang="zh">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1, user-scalable=no" />
<title>登录页面 </title>
<link href="/static/css/bootstrap.min.css" rel="stylesheet">
<link href="/static/css/materialdesignicons.min.css" rel="stylesheet">
<link href="/static/css/style.min.css" rel="stylesheet">
</head>
<body>
<div class="row lyear-wrapper">
<div class="lyear-login">
<div class="login-center">
<div class="login-header text-center">
<a href="index.html"> <img alt="light year admin" src="/static/img/logo-sidebar.png"> </a>
</div>
<form action="/login" method="POST">
<div class="form-group has-feedback feedback-left">
<input type="text" placeholder="请输入您的用户名" class="form-control" name="username" />
<span class="mdi mdi-account form-control-feedback" aria-hidden="true"></span>
</div>
<div class="form-group has-feedback feedback-left">
<input type="password" placeholder="请输入密码" class="form-control" name="password" />
<span class="mdi mdi-lock form-control-feedback" aria-hidden="true"></span>
</div>
<div class="form-group">
<button class="btn btn-block btn-primary" type="submit" >立即登录</button>
</div>
</form>
<hr>
</div>
</div>
</div>
<script type="text/javascript" src="/static/js/jquery.min.js"></script>
<script type="text/javascript" src="/static/js/bootstrap.min.js"></script>
</body>
</html>
登录表单需要注意的是:
一、两个input框,需要填写 name=“username” 和name="password",springSecurity 默认接收的参数是username和password,如果需要改变,就要和spring-security.xml中的 form-login标签中配置 username-parameter和password-parameter。
二、springsecurity默认表单提交的路径为/login,所以我们在写controller中写登录页面路径的时候,尽量避免写成/login ,不然的话,就需要放行/login路径了,那这样的话,springsecurity就无法拦截并进行验证了。我在本demo中写的是/user/login。
由于我喜欢把页面搞得好看些,所以总是在做demo的时候同时把样式调的好看些。登录页显示:(http://localhost:9090/user/login)
5. webapp下增加静态资源
webapp 下添加static文件夹,按照一般的项目结构,static下存在img、js、fonts、css文件夹。当然在此不配置静态资源也不影响功能。静态资源在文章尾项目demo地址提供。
6. 运行验证
我们在tomcat7-maven-plugin插件配置的端口是9090,因此我们访问 http://localhost:9090/user/login ,由于没有连接数据库,仅仅是在spring-security.xml 中配置的认证管理器中配置了两个用户 admin 和 password,密码分别是123456和root。我们会发现,只有输入这两个用户,才会被允许进入index.jsp 页面,否则,只会被拦截在登录页面。
至此: 我们就简单实现了security 的登录认证。当然,才这么点,远远不够,下次我们就需要和数据库进行查询验证了。
demo 源码 : 链接:https://pan.baidu.com/s/12mugl5kCE1FQj_pesK9bxw
提取码:ktov