在Spring中创建安全页面
我正在使用Spring创建一个网站,希望文件夹“/admin”下的所有页面都是安全的。然而,我真的不知道从哪里开始,只有一个复杂的例子 在工作中,我们将细节存储在数据库中,但我希望它能比这更简单,可能存储在context.xml或其他什么东西中?我面对这一页: web.xml:在Spring中创建安全页面,spring,Spring,我正在使用Spring创建一个网站,希望文件夹“/admin”下的所有页面都是安全的。然而,我真的不知道从哪里开始,只有一个复杂的例子 在工作中,我们将细节存储在数据库中,但我希望它能比这更简单,可能存储在context.xml或其他什么东西中?我面对这一页: web.xml: <security-constraint> <display-name>admin pages</display-name> <web-resource
<security-constraint>
<display-name>admin pages</display-name>
<web-resource-collection>
<web-resource-name>Administration Pages</web-resource-name>
<description/>
<url-pattern>/admin/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<description/>
<role-name>userAdmin</role-name>
</auth-constraint>
<!-- <user-data-constraint>
<description/>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>-->
</security-constraint>
管理页面
管理页面
/管理员/*
用户管理员
在tomcat-users.xml中,我有以下密码信息:
<user password="password" roles="tomcat,role1,manager-script,manager-gui,admin,manager" username="user"/>
但是,当我尝试访问/admin/adminindex.htm页面时,会出现一个禁止的错误:
已禁止访问指定的资源(已拒绝访问请求的资源)
理想情况下,我希望将用户详细信息存储在数据库中,但目前这两种方法都无法进行。我会研究,它为网站安全提供了大量选项(包括DB支持或JNDI支持的安全性)。这可能是一个很好的起点。这是我如何使用Spring Security保护应用程序的,下面是web.xml
This is how I secure applications using Spring Security, here is the web.xml
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/spring-servlet.xml
/WEB-INF/spring-security.xml
</param-value>
</context-param>
<servlet>
<servlet-name>spring</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>/WEB-INF/spring-servlet.xml</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>spring</servlet-name>
<url-pattern>/myapp/*</url-pattern>
</servlet-mapping>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
spring-security.xml
<security:http auto-config="true" use-expressions="true" access-denied-page="/" create-session="never" disable-url-rewriting="true">
<security:intercept-url pattern="/myapp/auth/login" access="permitAll" />
<security:intercept-url pattern="/myapp/main/**" access="hasRole('ROLE_USER')" />
<security:form-login login-page="/" authentication-failure-url="/myapp/auth/login?error=true" default-target-url="/myapp/main/default"/>
<security:logout invalidate-session="true" logout-success-url="/myapp/auth/login" logout-url="/myapp/auth/logout" />
</security:http>
In order to authenticate using a Database you can use an Authentication Manager like this in spring-security.xml
<security:authentication-manager>
<security:authentication-provider user-service-ref="userService">
<security:password-encoder ref="passwordEncoder" />
</security:authentication-provider>
</security:authentication-manager>
Where "userService" is a service you define that has access to the Database, your service must implement org.springframework.security.core.userdetails.UserDetailsService and write the method
public UserDetails loadUserByUsername(String userName)
throws UsernameNotFoundException, DataAccessException {
UserDetails user = null;
try {
// Replace loadUserFromDB with your Data access method to pull the user and encrypted password from the database
Users u = loadUserFromDB(userName);
if(u != null)
user = new User(u.getEmail(), u.getPassword().toLowerCase(), true, true, true, true, getAuthorities(0));
} catch (Exception e) {
e.printStackTrace();
}
return user;
}
Spring security will use this method to secure your pages. Make sure to include this method:
public Collection<GrantedAuthority> getAuthorities(Integer access) {
// Create a list of grants for this user
List<GrantedAuthority> authList = new ArrayList<GrantedAuthority>(1);
authList.add(new GrantedAuthorityImpl("ROLE_USER"));
authList.add(new GrantedAuthorityImpl("ROLE_ANONYMOUS"));
return authList;
}
springSecurityFilterChain
org.springframework.web.filter.DelegatingFilterProxy
springSecurityFilterChain
/*
上下文配置位置
/WEB-INF/spring-servlet.xml
/WEB-INF/spring-security.xml
春天
org.springframework.web.servlet.DispatcherServlet
上下文配置位置
/WEB-INF/spring-servlet.xml
1.
春天
/myapp/*
org.springframework.web.context.ContextLoaderListener
spring-security.xml
为了使用数据库进行身份验证,可以在spring-security.xml中使用这样的身份验证管理器
如果“userService”是您定义的可以访问数据库的服务,那么您的服务必须实现org.springframework.security.core.userdetails.userdetails服务并编写方法
公共用户详细信息loadUserByUsername(字符串用户名)
抛出UsernameNotFoundException、DataAccessException{
UserDetails user=null;
试一试{
//使用数据访问方法替换loadUserFromDB,以从数据库中提取用户和加密密码
用户u=loadUserFromDB(用户名);
如果(u!=null)
user=新用户(u.getEmail(),u.getPassword().toLowerCase(),true,true,true,true,getAuthories(0));
}捕获(例外e){
e、 printStackTrace();
}
返回用户;
}
Spring security将使用此方法保护您的页面。确保包括此方法:
公共集合权限(整数访问){
//为此用户创建授权列表
List authList=newarraylist(1);
add(新授予的authorityImpl(“角色用户”);
add(新授权的authorityImpl(“匿名角色”);
返回authList;
}
我将从以下内容开始:您也可以查看这个项目,它已经有了开始使用Spring Security的基本代码
非常感谢!我会调查一下,让你知道。