SpringMVC 3.1集成Spring Security 3.1

时间 2019-11-05

标签 springmvc 3.1 集成 spring security 栏目 Spring 繁體版

原文原文链接

这篇算是一个入门文章，昨天看见有网友提问，spring mvc集成spring security 的时候出错，揣测了一下问题木有解决。我就帮忙给搭建了一个集成框架他说能够，他告诉我这样的文章网上少。今天我就分享在这里供入门学习。spring mvc我木有用过，因此咱们这里重点讲解如何集成spring security ，spring security是一个很是好的开源权限框架(具体了解本身google,或者到spring 官网，这里我给一个DOC3.1:http://static.springsource.org/spring-security/site/docs/3.1.x/reference/springsecurity.html)。能够说不只仅包含了权限，里面有一套完整的受权认证系统包括：权限、防止session攻击、支持信道安全、支持LDAP认证、支持OpenID、同时支持CAS集成单点登陆等等，我的用过spring security 2.0基本大体同样，当时中文资源那个少啊，尤为集成SSH+spring security 更是少的可怜，最后仍是硬着头皮上，最后拿下了这个框架，最起码了解了。当时就写了一个SSH+spring security的文章，还被某网站引用。好了废话不扯，咱们今天在来集成一个springmvc3.1+spring security3.1.咱们step by step go。css

step1：搭建SpringMVC。html

若是你会搭建或者搭建好了spring MVC那这一步能够略过了。首先下载spring mvc3.1 jar这个到官网下载或者google，须要的jar如图：java

而后建立一个包新建一个spring mvc 的class、个人以下：web

@Controller 
public class RestConstroller { 
    
    public RestConstroller() {} 
     
    @RequestMapping(value = "/welcome", method = RequestMethod.GET)  
    public String registPost() {  
        return "/hello";  
    } 

}

上面采用spring 注解方式实例化class,这个我很少讲，spring mvc也没用过不敢乱点。官网有例子你本身照着作。http://static.springsource.org/spring/docs/3.1.x/spring-framework-reference/html/validation.html#format-configuring-FormattingConversionService正则表达式

接着新建了一个view试图放了一个hello.jspspring

而后新建一个spring-servlet.xml 这个是spring mvc的一个配置文件。数据库

<?xml version="1.0" encoding="UTF-8"?>      
<beans xmlns="http://www.springframework.org/schema/beans" 
    xmlns:context="http://www.springframework.org/schema/context" 
    xmlns:p="http://www.springframework.org/schema/p" 
    xmlns:mvc="http://www.springframework.org/schema/mvc" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation=" 
        http://www.springframework.org/schema/beans 
        http://www.springframework.org/schema/beans/spring-beans.xsd 
        http://www.springframework.org/schema/mvc 
        http://www.springframework.org/schema/mvc/spring-mvc.xsd 
        http://www.springframework.org/schema/context   
        http://www.springframework.org/schema/context/spring-context.xsd">         
        
     <!-- 启动注解驱动的Spring MVC功能，注册请求url和注解POJO类方法的映射-->  
     <mvc:annotation-driven />  
     <!-- 启动包扫描功能，以便注册带有@Controller、@Service、@repository、@Component等注解的类成为spring的bean -->  
     <context:component-scan base-package="com.mvc.test" />  <!--这个包根据本身的项目来配置，个人是com.mvc.test--> 
     <!-- 对模型视图名称的解析，在请求时模型视图名称添加先后缀 -->  
     <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver" p:prefix="/WEB-INF/view/" p:suffix=".jsp" />    
</beans> 

而后配置web.xml:

     <context-param>  
        <param-name>contextConfigLocation</param-name>  
        <!-- 应用上下文配置文件 -->  
        <param-value>/WEB-INF/spring-servlet.xml</param-value>  
    </context-param>  
    <listener>  
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>  
    </listener> 

　　<!-- 配置spring核心servlet -->  
　　<servlet>  
    　　<servlet-name>spring</servlet-name>  
    　　<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>  
    　　<load-on-startup>1</load-on-startup>  
　　</servlet>  
　　<!-- url-pattern配置为/ 拦截 -->  
　　<servlet-mapping>  
    　　<servlet-name>spring</servlet-name>  
    　　<url-pattern>/</url-pattern>  
　　</servlet-mapping>

项目具体结构：spring-mvc

好了如今能够启动了，我这里启动的时候很不幸报错了，一看，缺乏logger的jar,添加commons-logging-1.1.jar，ok启动访问http://localhost:8080/SpringMVC/welcome成功、安全

到这里spring mvc配置完成。下面咱们的重点集成spring security 3.1服务器

step 2 spring mvc3.1集成spring security 3.1

首先要讲一点大版本集成要注意一点，大版本号要保持一直，第一位的每每都是大版本号，小版本号影响不大。为何要这样讲，当时我在集成SSH 的时候spring 用的是spring 2.X,而后去下载了一个spring security 3.X的死活不成功。后来在一片老外的文章中发现了，具体地址我忘记了，spring 2.X +spring security 2.X才能集成功，spring 3.X +spring security 3.X才能集成成功。如今想一想真够二的、哈哈，好了小插曲事后，咱们继续。

首先下载spring security 3.1jar，地址：http://www.springsource.org/spring-community-download。我这里有曾今下载的，就不用了、jar结构以下：

红色的呢，是源码包，咱们不用加入，蓝色圈中的是两个例子、你能够部署学习一下。其余的就是咱们须要的jar,能够根据包名称发现各个包都是一个spring security 的特性，通常来讲咱们把jar都加进去，随着项目须要都会用到的。

接下来咱们须要新建一个applicationContext-security.xml文件，这个是spring security 配置必须的一个文件。内容以下：

<?xml version="1.0" encoding="UTF-8"?> 
<b:beans xmlns="http://www.springframework.org/schema/security" 
    xmlns:b="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
                        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
                        http://www.springframework.org/schema/security 
                        http://www.springframework.org/schema/security/spring-security-3.1.xsd"> 
       <!-- 开启默认的拦截器 --> 
     　<http auto-config='true'> 
         <!-- 容许访问的uri --> 
        <intercept-url pattern="/**" access="ROLE_USER" />    
       </http> 
       
       <!-- 权限管理者 -->     
       <authentication-manager> 
           <!-- 权限提供者 --> 
        <authentication-provider> 
          <!-- 可提供登录访问的用户 --> 
          <user-service> 
            <user name="haha" password="haha" authorities="ROLE_USER, ROLE_ADMIN" /> 
            <user name="xixi" password="xixi" authorities="ROLE_USER" /> 
          </user-service> 
        </authentication-provider> 
      </authentication-manager> 
   
</b:beans>

里面大概解释了一下，其中http节点里面默认的开启的几个必须的拦截器，下面的user-service 就是能够登录访问的用户列表，咱们这里没有用数据库因此就这样配置了，若是使用数据库配置一个dataSource便可，包括后面的authorities都是经过数据库管理用户权限的，这里咱们暂时入门不作深刻讲解。

而后咱们须要一个spring security 的过滤器配置、web.xml完整配置。

<?xml version="1.0" encoding="UTF-8"?> 
<web-app version="2.5" 
    xmlns="http://java.sun.com/xml/ns/javaee" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
    http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

    
    <context-param>  
        <param-name>contextConfigLocation</param-name>  
        <!-- 应用上下文配置文件 -->  
        <param-value>/WEB-INF/spring-servlet.xml,/WEB-INF/applicationContext-security.xml</param-value> 
    </context-param> 
      
    <listener>  
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>  
    </listener> 
    
    <!-- spring securit start --> 
    <filter> 
      <filter-name>springSecurityFilterChain</filter-name> 
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 
    </filter> 
    <filter-mapping> 
      <filter-name>springSecurityFilterChain</filter-name> 
      <url-pattern>/*</url-pattern> 
    </filter-mapping> 
    <!-- spring securit start --> 
          
    <!-- 配置spring核心servlet -->  
    <servlet>  
        <servlet-name>spring</servlet-name>  
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>  
        <load-on-startup>1</load-on-startup>  
    </servlet>  
    <!-- url-pattern配置为/，不带文件后缀，会形成其它静态文件(js，css等)不能访问。如配为*.do，则不影响静态文件的访问 -->  
    <servlet-mapping>  
        <servlet-name>spring</servlet-name>  
        <url-pattern>/</url-pattern>  
    </servlet-mapping> 

    
    <welcome-file-list> 
    　　<welcome-file>index.jsp</welcome-file> 
  　</welcome-file-list> 
</web-app>

其中springSecurityFilterChain 过滤器必须放在最前面，由于spring security的安全机制是保护在web最外层的安全框架，因此你的任何访问都要通过spring security 投票机制受权才能够访问的，不然不容许访问。只有登录用户才能够访问。

contextConfigLocation配置就是扫描咱们的spring mvc和spring security配置文件。

具体完整的目录结构以下：

下面咱们启动web看看会发生什么神奇的事情。下面咱们访问http://localhost:8080/SpringMVC/welcome

奇迹发生了，咱们并无建立登录页面，那这个登录页面哪里来的呢？哈哈，不要着急，慢慢来说，看看url spring_security_login ，还记得咱们前面配置的spring security 的配置文件的<http>这个配置默认会开启几个过滤器，其中有一个就是拦截发现咱们没登录而后查找登录页面，但为何自动出来呢？其是它为咱们默认了一个登录页面，登录页面咱们能够指定一个，前面咱们没指定因此检查发现没有它就默认了一个登录页面给咱们，下面咱们登录看看会发生什么状况。（什么你不知道帐号密码？其实就是咱们spring security配置的那个帐号密码）。

输入帐号密码结果：

跳转到了咱们刚刚要访问的uri了，中间还会检查咱们的帐号是否有权，有权才会访问成功，无权则会转到无权访问页面。好了，到这里spring mvc+spring security 集成就完成了，剩下的工做就是一步一步的慢慢学习spring security 来使用更多的完善的功能。简单吧，就这点东西。

到这里咱们再试试若是登陆一个不存在的帐号会发生什么状况、我输入了一个admin、结果出现以下图：

spring security已经帮咱们检查了，帐号不存在，他会把咱们继续重定向到登陆页面，知道登陆成功，不然你永远都面对的是这个登陆页面。

好了今天主要分享的就这点，师傅引进门修行靠我的。不过我想了想，仍是再分享一点有用的、有的人会想若是个人登陆页面须要自定义怎么办？下面咱们就讲讲。

首先自定义登录，咱们须要修改applicationContext-security.xml 配置文件，修改以下：

　　　　<!-- 开启默认的拦截器 --> 
     　<http auto-config='true'> 
       　　<!-- 容许访问的uri --> 
       　　<intercept-url pattern="/**" access="ROLE_USER" /> 
       　　<!-- 登录页面配置 --> 
        　 <form-login login-page="/login.jsp" default-target-url="/index.jsp" authentication-failure-url="/login.jsp?error=true"/> 
       </http> 
       
       <!-- 权限管理者 -->     
       <authentication-manager> 
           <!-- 权限提供者 --> 
        <authentication-provider> 
          <!-- 可提供登录访问的用户 --> 
          <user-service> 
            <user name="haha" password="haha" authorities="ROLE_USER, ROLE_ADMIN" /> 
            <user name="xixi" password="xixi" authorities="ROLE_USER" /> 
          </user-service> 
        </authentication-provider> 
      </authentication-manager>

其中就多加了一个form 配置节点，从命名能够看出login-page就是你的登录页面，default-target-url是默认的登录成功后的页面，authentication-failure-url就是当你输入非法帐号或者密码自动重定向到login.jsp.

接下来建立咱们自定义的登录页面，个人就是login.jsp，有人到这里会想，form接下来该如何写呢？怎么写才能被拦截呢？以下：

<h1>user login</h1> 
    <form action="j_spring_security_check" method="post"> 
        用户名<input type="text" name="j_username"/><br/> 
        密码<input type="password" name="j_password"/><br/> 
        <input type="submit" value="submit"/> 
    </form>

action="j_spring_security_check"必须这样写，不然拦截器拦截不到。登录的字段j_username j_password必须这样写，不然你的登录拦截器获取不到value。固然你也能够自定义，但前提是你必须继承 UsernamePasswordAuthenticationFilter 过滤器去重写一下，这里咱们就不麻烦了，并且通常状况下咱们不须要重写，就用它提供的便可。好了，到这里咱们能够启动服务器了。咱们再次访问：http://localhost:8080/SpringMVC/welcome看看会发生神马变化。如图：

咦？这是什么状况？url变了，是咱们要访问的登录地址。但是页面的登录form呢？不要着急，这种状况我当时见多了，第一反应login.jsp 没有被放行，拦截下来了、受保护的资源。前面咱们不是讲过spring security 是保护在web最外层的嘛，访问任何资源须要投票，受权才能访问的，这个也不例外。

好了，知道神马状况了，咱们修改吧！修改以下部分片断便可：

　　　　 <!-- 开启默认的拦截器 --> 
    　　<http auto-config='true'> 
       　　<!--对login.jsp放行，不用保护--> 
       　　<intercept-url pattern="/login.jsp" filters="none" /> 
       　　<!-- 容许访问的uri --> 
       　　<intercept-url pattern="/**" access="ROLE_USER" /> 
       　　<!-- 登录页面配置 --> 
       　　<form-login login-page="/login.jsp" default-target-url="/index.jsp" authentication-failure-url="/login.jsp?error=true"/> 
       </http>

而后咱们启动服务器再次访问http://localhost:8080/SpringMVC/welcome

不幸的事情又发生了，控制台报错，服务器启动失败!以下图：

其实大概的意思是讲下面的这个配置做废了。

<intercept-url pattern="/login.jsp" filters="none" />这个配置是spring security 2.X中的，3.X之后做废了，使用新的方式了。但最起码你让我不能再次调用撒，这样我就知道没有这个标签了，能够理解的是，废弃相关配置要耗费很大的精力，动一发而牵全身，因此它还能够调用，可是运行的时候就不能。不过错误告诉咱们怎么使用新的标签了，就是新建一个节点标签，属性 security="none" 来放行，好了，咱们修改一下。修改部分配置以下：

　　<!-- spring securit 3.X新的资源放行配置方式，不受保护的资源 -->                   
     　　<http pattern="/login.jsp" security="none"/>              
                        
    　　 <!-- 开启默认的拦截器 --> 
     　　<http auto-config='true'> 
        　　<!-- 容许访问的uri --> 
        　　<intercept-url pattern="/**" access="ROLE_USER" /> 
        　　<!-- 登录页面配置 --> 
        　　<form-login login-page="/login.jsp" default-target-url="/index.jsp" authentication-failure-url="/login.jsp?error=true"/> 
        </http>

在http节点上面再加一个节点，而后配置不须要拦截的。pattern属性的意思就是经过正则表达式来匹配的。security="none"就是不安全的，意思就是不受spring security保护的资源，这里还要提一点，就是.jpg、.gif、.swf、.css、.js/等等资源文件都会被拦截下来，即便他是包含在一个已经放行的jsp页面或者uri的request、怎么理解？就是好比：咱们的login.jsp放行了，可是咱们没有放行.jpg这样的图片资源，当咱们访问login.jsp的时候图片是不显示的，由于它没有被放行，从这里能够看出spring security是很是严格的检查机制。假如咱们要放行那些怎么办？

spring security 2.X中配置以下：

　　<http auto-config='true'> 
      <!-- public 资源文件 –> 
      <intercept-url pattern="/**/*.jpg" filters="none" />  
      <intercept-url pattern="/**/*.png" filters="none" />  
      <intercept-url pattern="/**/*.gif" filters="none" /> 
      <intercept-url pattern="/**/*.ico" filters="none" /> 
      <intercept-url pattern="/**/*.css" filters="none" /> 
      <intercept-url pattern="/**/*.js" filters="none" />


       <!-- 容许访问的uri --> 
       <intercept-url pattern="/**" access="ROLE_USER" /> 
       <!-- 登录页面配置 --> 
       <form-login login-page="/login.jsp" default-target-url="/index.jsp" authentication-failure-url="/login.jsp?error=true"/> 
     </http>

固然咱们这里讲spring security 3.X，因此3.X的以下：

<http pattern="/**/*.jpg" security="none"/>              
<http pattern="/**/*.png" security="none"/>              
<http pattern="/**/*.gif" security="none"/> 
<http pattern="/**/*.ico" security="none"/>              
<http pattern="/**/*.css" security="none"/> 
<http pattern="/**/*.js" security="none"/>    
<!-- spring securit 3.X新的资源放行配置方式，不受保护的资源 -->                   
<http pattern="/login.jsp" security="none"/>             

　　<http auto-config='true'> 
  
     <!-- 容许访问的uri --> 
     <intercept-url pattern="/**" access="ROLE_USER" /> 
     <!-- 登录页面配置 --> 
     <form-login login-page="/login.jsp" default-target-url="/index.jsp" authentication-failure-url="/login.jsp?error=true"/> 
   </http>

上面的pattern="/**/*.jpg" 配置意思就是放行，项目中全部的.jpg资源，之后的以此类推的原理。你亦能够放行某一个文件下的，具体就是正则表达式的配置。

好了，咱们仍是回到刚刚修改的放行资源试试，再次启动服务器访问：http://localhost:8080/SpringMVC/welcome

当咱们再次访问的时候login.jsp已经出来了、这个时候咱们登录，成功后直接跳转到/welcome 的响应页面。结果如图;

这里咱们没有配置用户资源访问权限，因此访问的资源直接能够访问，若是配置了访问权限登录成功后，spring security还会检查是否有权访问，无权重定向。

好了到这里，今天分享的入门到此完毕。后面有时间再慢慢分享，这个框架仍是很值得学习的。功能比较强大，官方文档比较全面，能够好好研读一下，感谢抽宝贵的时间阅读。

转自：http://www.cnblogs.com/Beyond-bit/p/springmvc_and_springsecurity.html