Spring security配置项目

Spring Framework在Spring 3.1中添加了Java配置支持。在Spring Security中，Java配置已添加到Spring Security 3.2中，使我们可以配置Spring Security 而无需编写XML单行。

在这里，我们将创建一个实现Spring的示例。安全性且未使用XML进行配置。它包括以下步骤。

步骤1

第一步是创建Spring Security Java配置。下面给出了一个简单的基本Java配置。

WebSecurityConfig.java

示例

package com.nhooo;
import org.springframework.context.annotation.*;
//import org.springframework.security.config.annotation.authentication.builders.*;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.*;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@EnableWebSecurity
@ComponentScan("com.nhooo")
public class WebSecurityConfig implements WebMvcConfigurer {
    
    @Bean
    public UserDetailsService userDetailsService() throws Exception {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withDefaultPasswordEncoder().username("Nhooo").
        password("java123").roles("USER").build());
        return manager;
    }
    
    protected void configure(HttpSecurity http) throws Exception {
                
        http
        .antMatcher("/")                               
        .authorizeRequests()
            .anyRequest().hasRole("ADMIN")
            .and()
        .httpBasic();
    }
}

此配置创建一个称为 springSecurityFilterChain 的Servlet过滤器。负责保护应用程序URL，验证提交的用户名和密码，重定向到登录表单等。

上述Java配置为我们的应用程序执行以下操作。

要求对每个URL进行身份验证创建登录表单允许用户使用基于表单的身份验证进行身份验证允许注销防止CSRF攻击安全标题集成等

步骤2

现在，我们将向战争注册 springSecurityFilterChain 。要进行注册，Spring Security提供了我们需要扩展的基类AbstractSecurityWebApplicationInitializer。

对于Spring MVC应用程序，SecurityWebApplicationInitializer如下所示。

SecurityWebApplicationInitializer.java

示例

package com.nhooo;
import org.springframework.security.web.context.*;
public class SecurityWebApplicationInitializer
    extends AbstractSecurityWebApplicationInitializer {
}

此代码将为我们应用程序中的每个URL注册springSecurityFilterChain。

步骤3

现在，将WebSecurityConfig加载到我们现有的ApplicationInitializer中并添加到getRootConfigClasses()方法。

MvcWebApplicationInitializer.java

示例

package com.nhooo;
import org.springframework.web.servlet.support.AbstractAnnotationConfigDispatcherServletInitializer;
public class MvcWebApplicationInitializer extends
        AbstractAnnotationConfigDispatcherServletInitializer {
    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[] { WebSecurityConfig.class };
    }
    @Override
    protected Class<?>[] getServletConfigClasses() {
        // TOdo Auto-generated method stub
        return null;
    }
    @Override
    protected String[] getServletMappings() {
        return new String[] { "/" };
    }
}

步骤4

WebSecurityConfigurerAdapter 类提供了一个configure(HttpSecurity http)方法，该方法包含以下默认配置。默认定义如下所示。

示例

protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.httpBasic();
}

它类似于给定的XML。

示例

<http>
<intercept-url pattern="/**" access="authenticated"/>
<form-login />
<http-basic />
</http>

此方法执行以下操作。

它确保用户提出的每个请求都要求对用户进行身份验证它允许用户使用基于表单的登录进行身份验证它允许用户使用HTTP Basic身份验证进行身份验证

第5步

创建一个控制器来处理用户请求。

HomeController.java

示例

package com.nhooo.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
@Controller
public class HomeController {
    
    @RequestMapping(value="/", method=RequestMethod.GET)
    public String index() {
        
        return "index";
    }
}

我们有一个视图(.jsp)页面 index.jsp ，其中包含以下源代码。

示例

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Home Page</title>
</head>
<body>
Welcome to home page!
</body>
</html>

我们的完整项目如下所示。

Spring Security Java示例