• spring-security配置和原理简介


    SpringSecurity3的核心类有三种 

    1.URL过滤器或方法拦截器:用来拦截URL或者方法资源对其进行验证,其抽象基类为AbstractSecurityInterceptor 
    2.资源权限获取器:用来取得访问某个URL或者方法所需要的权限,接口为SecurityMetadataSource 
    3.访问决策器:用来决定用户是否拥有访问权限的关键类,其接口为AccessDecisionManager。 

    调用顺序为:AbstractSecurityInterceptor调用SecurityMetadataSource取得资源的所有可访问权限,然后再调用AccessDecisionManager来实现决策,确定用户是否有权限访问该资源。 

    SecurityMetadataSource包括MethodSecurityMetadataSource和FilterInvocationSecurityMetadataSource,分别对应方法和URL资源。 

    你也可以完全自定义自己的过滤器、资源权限获取器、访问决策器,下面给出完整的springsecurity3的配置文件:
    Java代码  收藏代码
    1. <?xml version="1.0" encoding="UTF-8"?>  
    2.   
    3. <beans:beans xmlns="http://www.springframework.org/schema/security"  
    4.   xmlns:beans="http://www.springframework.org/schema/beans"  
    5.   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    6.   xsi:schemaLocation="http://www.springframework.org/schema/beans  
    7.            http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
    8.            http://www.springframework.org/schema/security  
    9.            http://www.springframework.org/schema/security/spring-security-3.0.xsd">  
    10.       
    11.     <beans:bean id="loggerListener" class="org.springframework.security.authentication.event.LoggerListener" />  
    12.       
    13.     <http auto-config="true" access-denied-page="/403.jsp">  
    14.         <intercept-url pattern="/css/**" filters="none" />  
    15.         <intercept-url pattern="/images/**" filters="none" />  
    16.         <intercept-url pattern="/js/**" filters="none" />  
    17.         <intercept-url pattern="/403.jsp" filters="none" />  
    18.         <intercept-url pattern="/" filters="none" />  
    19.         <intercept-url pattern="/login.jsp" filters="none" />  
    20.         <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true" default-target-url="/finance/index.do?listId=CONSUMPTION&page.rowCount=10" />  
    21.         <logout logout-success-url="/login.jsp"/>  
    22.           
    23.         <!-- 防止同一用户多次登录,使第二次登录失败  -->  
    24.         <session-management>  
    25.             <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />  
    26.         </session-management>  
    27.           
    28.          <!-- 增加一个filter,这点与Acegi是不一样的,不能修改默认的filter了,这个filter位于FILTER_SECURITY_INTERCEPTOR之前 -->  
    29.         <custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="urlSecurityFilter" />  
    30.     </http>  
    31.   
    32.     <!-- 一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,  
    33.         我们的所有控制将在这三个类中实现,解释详见具体配置 -->  
    34.     <beans:bean id="urlSecurityFilter" class="com.maxjay.main.system.web.filter.UrlSecurityInterceptorFilter">  
    35.         <beans:property name="authenticationManager" ref="authenticationManager" />  
    36.         <beans:property name="accessDecisionManager" ref="securityAccessDecisionManager" />  
    37.         <beans:property name="securityMetadataSource" ref="urlSecurityMetadataSource" />  
    38.     </beans:bean>  
    39.   
    40.     <!-- 认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 -->  
    41.     <authentication-manager alias="authenticationManager">  
    42.         <authentication-provider user-service-ref="userService">  
    43.             <!--   如果用户的密码采用加密的话,可以加点“盐”  
    44.                 <password-encoder hash="md5" />  
    45.             -->  
    46.         </authentication-provider>  
    47.     </authentication-manager>  
    48.   
    49. </beans:beans>  

    其中userService实现了UserDetailsService用来与自己的用户表进行适配,UrlSecurityInterceptorFilter继承了AbstractSecurityInterceptor并实现了Filter接口,urlSecurityMetadataSource实现了FilterInvocationSecurityMetadataSource接口,securityAccessDecisionManager实现了AccessDecisionManager接口,它们都通过spring的注解声明为容器的一个对象,所以在配置文件中才能直接引用。 

    springsecurity3有提供了几个已经实现好的访问决策器,其抽象类为AbstractAccessDecisionManager,它使用投票机制(AccessDecisionVoter)来确定用户有没有权限访问某资源,其实现类有三个: 
    AffirmativeBased:只要有一个投票器通过即审核通过 
    ConsensusBased:只有当赞成票>反对票时 审核才会通过 
    UnanimousBased:只要有一个投票器反对,审核就不通过 
    你可以直接使用该抽象类的实现类,其配置如下: 
    Java代码  收藏代码
    1. <beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">  
    2.         <!-- false意味着当配置的投票器只投了弃权票时,不允许继续执行 -->  
    3.         <beans:property name="allowIfAllAbstainDecisions" value="false"/>  
    4.         <!-- 配置该决策器所需要的投票器 -->  
    5.         <beans:property name="decisionVoters">  
    6.             <beans:list>  
    7.                 <beans:bean class="org.springframework.security.access.vote.RoleVoter"/>  
    8.                 <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>  
    9.             </beans:list>  
    10.         </beans:property>  
    11.     </beans:bean>  

    还是不懂的话,看看这篇文章应该容易理解一点

    http://www.blogjava.net/youxia/archive/2008/12/07/244883.html

  • 相关阅读:
    sybase数据库破解
    原生js实现音乐列表(隔行换色、全选)
    原生JavaScript实现评分效果
    原生javascript实现选项卡(基础版)
    LeetCode【111. 二叉树的最小深度】
    LeetCode【110. 平衡二叉树】
    LeetCode【108. 将有序数组转换为二叉搜索树】
    LeetCode【101. 对称二叉树】
    LeetCode【104. 二叉树的最大深度】
    持续更新scrapy的错误,ValueError: Missing scheme in request url:
  • 原文地址:https://www.cnblogs.com/quyixuanblog/p/5213056.html
Copyright © 2020-2023  润新知