一、背景知识
1、Spring Security
- 是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
- 它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(IOC: 控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能。
- 减少了为企业系统安全控制编写大量重复代码的工作。
2、Spring表达式语言(Spring Expression Language,简称SpEL)
- 是一种支持在Spring框架中进行表达式计算的语言。
- SpEL提供了一种在运行时计算表达式的能力,这些表达式可以用于在Spring配置文件中进行属性的赋值、条件的判断、方法的调用等操作。SpEL可以用于注解、XML配置文件和Java代码中。
- SpEL支持一系列功能,包括对对象属性的引用、方法调用、算术运算、逻辑运算、条件判断、正则表达式等。
- 在Spring框架中,SpEL通常用于在Bean定义或注解中进行复杂的配置、条件判断、动态计算属性值等操作。
下面是一个使用SpEL的示例:
java@Value("#{systemProperties['java.home']}") private String javaHome;
在这个示例中,SpEL被用来注入系统属性java.home的值到javaHome变量中。
SpEL为Spring框架提供了更加灵活和强大的表达式计算能力,使得开发人员可以更加方便地进行配置和业务逻辑的编写。
3、 CSRF(Cross-Site Request Forgery,跨站请求伪造)
- 是一种网络安全攻击,它利用了用户在当前已登录的Web应用程序中的权限,通过伪装成用户的请求来执行非授权的操作。攻击者可以通过各种方式诱使用户访问恶意网站或点击恶意链接,从而在后台执行未经授权的操作,例如修改用户资料、发送消息等。
- CSRF攻击通常利用了Web应用程序的安全漏洞,其中最常见的是应用程序在处理用户请求时未能验证请求来源的有效性。攻击者可以通过构造恶意的请求并引诱用户执行,来实施CSRF攻击。对于受害者来说,他们可能并不知晓这些操作的发生,因此对于Web应用程序来说,防御CSRF攻击非常重要。
- 为了防御CSRF攻击,通常采用的策略包括使用CSRF令牌(CSRF token)来验证请求的来源、使用同源策略(Same Origin Policy)来限制跨站点请求、使用双重提交 cookie 策略等。在Web应用程序的设计和实现中,针对CSRF攻击进行全面的防御是非常重要的一环。
- csrf验证的作用: 判断此请求是否是从本站发起,做静态的登录页面时,要把它关掉
4、使用HTML5来创建html文件还是用HTML4?
建议您使用HTML5来创建index.html文件。HTML5是当前主流的HTML版本,具有更多的新特性和功能,包括语义化标签、音视频支持、canvas绘图、表单验证等等。同时,HTML5也更符合现代Web开发的需求,并且被各大浏览器广泛支持。
虽然HTML4仍然可以在现代浏览器中正常工作,但HTML5提供了更多的优势和新特性,因此建议您选择HTML5来创建index.html文件。
二、代码实例
1、代码结构:
2、具体代码
PasswordEncoderExample
需要使用BCryptPasswordEncoder对密码进行加密,然后将加密后的密码复制到配置文件中
java
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
/**
* 使用BCrypt加密后的密码
*/
public class PasswordEncoderExample {
public static void main(String[] args) {
//原密码
String rawPassword="123456";
BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
//加密后的密码
String encodedPassword = encoder.encode(rawPassword);
System.out.println(encodedPassword);
}
}
控制台输出:
spring-security.xml
在最新版本的Spring Security中,密码编码器的配置变得更加严格以确保安全性。因此,必须为密码配置正确的编码器,否则会出现 "There is no PasswordEncoder mapped for the id 'null'" 的异常。
XML
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!--以下页面不被拦截,该页面不受security的登录等限制-->
<http pattern="/login.html" security="none"></http>
<!--
intercept-url: 表示拦截页面
/*: 本级目录下的资源
/**: 本级目录以及本级目录下所有子目录的资源
form-login: 自动产生登录表单
login-page: 指定登录页面
default-target-url: 登录成功后跳转的页面
authentication-failure-url: 登录失败后跳转的页面
-->
<!--页面拦截规则-->
<http>
<!--定义某资源只有拥有角色ROLE_USER的用户才可以访问-->
<intercept-url pattern="/*" access="hasRole('ROLE_USER')"/>
<form-login login-page="/login.html" default-target-url="/index.html"/>
<!--关闭csrf-->
<!--csrf验证的作用: 判断此请求是否是从本站发起,做静态的登录页面时,要把它关掉-->
<csrf disabled="true"/>
<!--退出登录-->
<logout/>
</http>
<!--认证管理器-->
<authentication-manager>
<authentication-provider>
<password-encoder ref="passwordEncoder"/>
<user-service>
<!--必须通过name和password的登录,才能获得ROLE_USER这个角色-->
<user name="admin" password="$2a$10$FYIRQkPI6sOj2wKssOCgGO0yBMnygEIjCYPNr5yHsWv5HtjMwtvO2" authorities="ROLE_USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
<!--密码编码器-->
<beans:bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
</beans:beans>
web.xml
XML
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
version="2.5">
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<!--过滤器代理,转发给springSecurityFilterChain-->
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<!--定义的过滤器映射名字要和上面定义的过滤器名字一致-->
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 通过配置filter和filter-mapping,可以实现对请求进行预处理或后处理操作,如身份验证、日志记录、编码转换等。-->
</web-app>
index.html
html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>首页</title>
</head>
<body>
欢迎!欢迎!欢迎!
<!--href: 插入了一个链接,点击名为"退出"的链接后,跳转到logout页面-->
<a href="/logout">退出</a>
</body>
</html>
login.html
html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录页面</title>
</head>
<body>
<form action="/login" method="post">
<table>
<tr>
<td>用户名: </td>
<td><input name="username"></td>
</tr>
<tr>
<td>密码: </td>
<td><input name="password"></td>
</tr>
<tr>
<td><button>登录</button>></td>
</tr>
</table>
</form>
</body>
</html>
运行结果:
运行:
默认登录页面:
自定义登录页面:
登录后访问的页面:
退出后的页面: