Spring Security可谓是在权限管理领域中公认的最强框架,只是学习难度稍微有点大,要想拥有强大的功能总得付出点代价,是吧 :)
现在我们就用用 Spring Security 4+Spring MVC+Spring4 来构建一个web应用。
首先需要创建一个Spring4+Spring MVC 的web工程,可以参考我的另一篇博文:http://blog.csdn/qq245671051/article/details/47206331
在此基础上,我们还需要再加入和Spring Security的jar包
其中spring-security-messaging又依赖了spring-messaging,所以再加入一个:
Spring Security的一些配置我们在Spring容器中进行配置,我们需要在Spring的xml配置文件中加入SpringSecurity的命名空间,这里我们添加一个:
xmlns:xmlns:sec="http://www.springframework/schema/security
在xsi:schemaLocation中加入新加一个:
http://www.springframework/schema/securityhttp://www.springframework/schema/security/spring-security-4.0.xsd
在里面加入类似下面的配置:
<!-- 权限控制 -->
<sec:http>
<sec:intercept-url pattern="/register*" access="isAnonymous()" /> <!—所有人都能访问注册页面-->
<sec:intercept-url pattern="/login.jsp*" access="isAnonymous()" /> <!—所有人都能访问登录页面-->
<sec:intercept-url pattern="/**" access="hasRole('USER')"/> <!—除了以上匿名用户都能访问的页面其余页面都必须要登录 -->
<sec:form-login login-page="/login.jsp" /> <!-- 自定义登录页面(如果没有指定就使用默认生成的一个简陋的登录界面,而且提交中文会乱码) -->
<sec:logout /> <!-- 用户可以注销,默认是路径为:”/logout” -->
<sec:csrf disabled="true" /><!—csrf安全防范默认是打开了的,但是测试的时候打开不好,比较复杂,所以我们就关掉 -->
</sec:http>
这只是一个基本的配置。
更多推荐
用 Spring Security 4+Spring MVC+Spring4 构建健壮且安全的web应用
发布评论