用 Spring Security 4+Spring MVC+Spring4 构建健壮且安全的web应用

admin管理员组

文章数量:1794759

用 Spring Security 4+Spring MVC+Spring4 构建健壮且安全的web应用

Spring Security可谓是在权限管理领域中公认的最强框架，只是学习难度稍微有点大，要想拥有强大的功能总得付出点代价，是吧 :)

 

现在我们就用用 Spring Security 4+Spring MVC+Spring4 来构建一个web应用。

首先需要创建一个Spring4+Spring MVC 的web工程，可以参考我的另一篇博文：blog.csdn/qq245671051/article/details/47206331

在此基础上，我们还需要再加入和Spring Security的jar包

其中spring-security-messaging又依赖了spring-messaging，所以再加入一个：

Spring Security的一些配置我们在Spring容器中进行配置，我们需要在Spring的xml配置文件中加入SpringSecurity的命名空间，这里我们添加一个：

xmlns：xmlns:sec="www.springframework/schema/security

在xsi:schemaLocation中加入新加一个：

www.springframework/schema/securitywww.springframework/schema/security/spring-security-4.0.xsd

 

在里面加入类似下面的配置：

    <!-- 权限控制 -->

<sec:http> <sec:intercept-url pattern="/register*" access="isAnonymous()" /> <!—所有人都能访问注册页面--> <sec:intercept-url pattern="/login.jsp*" access="isAnonymous()" /> <!—所有人都能访问登录页面--> <sec:intercept-url pattern="/**" access="hasRole('USER')"/> <!—除了以上匿名用户都能访问的页面其余页面都必须要登录 --> <sec:form-login login-page="/login.jsp" /> <!-- 自定义登录页面（如果没有指定就使用默认生成的一个简陋的登录界面，而且提交中文会乱码） --> <sec:logout /> <!-- 用户可以注销，默认是路径为：”/logout” --> <sec:csrf disabled="true" /><!—csrf安全防范默认是打开了的，但是测试的时候打开不好，比较复杂，所以我们就关掉 --> </sec:http>

 

这只是一个基本的配置。

本文标签： 健壮securityspringMVCweb