Spring Security

Spring Security配置

Spring Security 的前身是 Acegi Security ，是 Spring 项目组中用来提供安全认证服务的框架

1.添加jar包

<dependency> 
	<groupId>org.springframework.security</groupId> 
	<artifactId>spring-security-web</artifactId> 
	<version>5.0.1.RELEASE</version> 
</dependency> 
<dependency> 
	<groupId>org.springframework.security</groupId> 
	<artifactId>spring-security-config</artifactId> 
	<version>5.0.1.RELEASE</version> 
</dependency>

2.web.xml

<!--springsecurity.xml-->
<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath*:spring-security.xml</param-value>
  </context-param>
  
  <!-- 配置监听器 -->
  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>
  
<!--springSecurityFilterChain过滤器，filter-name不可变-->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

3.spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:security="http://www.springframework.org/schema/security"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans          
    http://www.springframework.org/schema/beans/spring-beans.xsd          
    http://www.springframework.org/schema/security          
    http://www.springframework.org/schema/security/spring-security.xsd">
    
    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    
    <!-- 
    	配置具体的规则 
    	auto-config="true"	不用自己编写登录的页面，框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式（没学习过）
    -->
    <security:http auto-config="true" use-expressions="false">
    	<!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人，必须有ROLE_USER的角色" -->
    	<security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>
    	
    	<!-- 定义跳转的具体的页面 -->
    	<!-- 
    		default-target-url登陆成功后跳转的页面
    		login-processing-url访问路径
    		authentication-success-forward-url="/pages/main.jsp"给登陆成功后跳转设置了一个请求转发
    	-->
    	<security:form-login  
    		login-page="/login.jsp"
    		login-processing-url="/login.do"
    		default-target-url="/main.jsp"
    		authentication-success-forward-url="/pages/main.jsp"
    		authentication-failure-url="/failer.jsp"
    	/>
    	
    	<!-- 关闭跨域请求 -->
    	<security:csrf disabled="true"/>

    	<!-- 退出访问路径，退出以后返回login.jsp -->
    	<security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp" /></security:http>
    
    <!-- 切换成数据库中的用户名和密码  -->
    <security:authentication-manager>
    	<!--service层bean配置@Service("userService") -->
    	<security:authentication-provider user-service-ref="userService">
    		<!-- 配置加密的方式 -->
    		<security:password-encoder ref="passwordEncoder"/>
    	</security:authentication-provider>
    </security:authentication-manager>
    
    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    
    <!-- 提供了入门的方式，在内存中存入用户名和密码 
    <security:authentication-manager>
    	<security:authentication-provider>
    		<security:user-service>
    			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
    		</security:user-service>
    	</security:authentication-provider>
    </security:authentication-manager>
    -->
    
 </beans>   

方法级别权限控制（根本上控制权限）

当权限不足的用户访问会触发403页面

1.JSR250

2.@Secured注解使用

3.表达式使用

-----自定义403页面

在web.xml文件中配置如下信息即可，然后自己创建403.jsp

<error-page>
    <error-code>403</error-code>
    <location>/403.jsp</location>
  </error-page>

页面端标签控制权限（视图上控制，但能通过路径访问）

这只是视图上控制，但能通过路径访问，所以要结合以上注解来使用

在jsp页面中我们可以使用spring security提供的权限标签来进行权限控制，要使用标签还要先进行1,2两部导入资源

1.maven导入

<dependency> 
	<groupId>org.springframework.security</groupId> 
	<artifactId>spring-security-taglibs</artifactId> 
	<version>xxx</version> 
</dependency>

2.页面导入

<%@taglib uri="http://www.springframework.org/security/tags" prefix="security"%>

3.authentication标签

用法如下：获取当前登录名

<security:authentication property="principal.username" htmlEscape="" scope="" var=""/>

property： 只允许指定Authentication所拥有的属性，可以进行属性的级联获取，如“principle.username”，不允许直接通过方法进行调用

htmlEscape：表示是否需要将html进行转义。默认为true。

scope：与var属性一起使用，用于指定存放获取的结果的属性名的作用范围，默认pageContext。Jsp中拥有的作用范围都进行进行指定

var： 用于指定一个属性名，这样当获取到了authentication的相关信息后会将其以var指定的属性名进行存放，默认是存放在pageConext中

4. authorize标签

authorize是用来判断普通权限的，通过判断用户是否具有对应的权限而控制其所包含内容的显示

<security:authorize access="" method="" url="" var=""></security:authorize>

使用示例：只有USER权限可以看到中间内容

access： 需要使用表达式来判断权限，当表达式的返回结果为true时表示拥有对应的权限
method：method属性是配合url属性一起使用的，表示用户应当具有指定url指定method访问的权限，
method：默认值为GET，可选值为http请求的7种方法
url：url表示如果用户拥有访问指定url的权限即表示可以显示authorize标签包含的内容
var：用于指定将权限鉴定的结果存放在pageContext的哪个属性中

5…

解决Encoded password does not look like BCrypt

今天第一次使用Spring Security，数据库的密码是在数据库中自己insert插入的，多次调试密码正确他还是提示登录失败，查看服务器报错：

Encoded password does not look like BCrypt 

原因：你在spring-security中配置了加密，而数据库存的密码是你手动insert进去的，他存储密码默认方式是BCryptPasswordEncoder类加密过的，而登录也会默认解密。自己导入的密码无法解密，所以报错
其实解决很简单。在设置密码的时候使用BCryptPasswordEncoder()加密就行了！

userInfo.getPassword()

改成

new BCryptPasswordEncoder().encode(userInfo.getPassword())

这个方法仅适用于自己插入的密码的账户登录

转载：https://blog.csdn.net/qq_41653935/article/details/104484447