SpringSecurity3配置及原理简介 -

ganen11

浏览: 6245 次
性别:
来自: 南京

最近访客更多访客>>

小头猎豹

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

SpringSecurity3配置及原理简介

博客分类：

Web
权限控制

配置管理 Acegi Spring Security XML

SpringSecurity3的核心类有三种
1.URL过滤器或方法拦截器：用来拦截URL或者方法资源对其进行验证，其抽象基类为AbstractSecurityInterceptor
2.资源权限获取器：用来取得访问某个URL或者方法所需要的权限，接口为SecurityMetadataSource
3.访问决策器：用来决定用户是否拥有访问权限的关键类，其接口为AccessDecisionManager。

调用顺序为：AbstractSecurityInterceptor调用SecurityMetadataSource取得资源的所有可访问权限，然后再调用AccessDecisionManager来实现决策，确定用户是否有权限访问该资源。

SecurityMetadataSource包括MethodSecurityMetadataSource和FilterInvocationSecurityMetadataSource，分别对应方法和URL资源。

你也可以完全自定义自己的过滤器、资源权限获取器、访问决策器，下面给出完整的springsecurity3的配置文件：

Java代码  
<?xml version="1.0" encoding="UTF-8"?>  
  
<beans:beans xmlns="http://www.springframework.org/schema/security"  
  xmlns:beans="http://www.springframework.org/schema/beans"  
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  xsi:schemaLocation="http://www.springframework.org/schema/beans  
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
           http://www.springframework.org/schema/security  
           http://www.springframework.org/schema/security/spring-security-3.0.xsd">  
      
    <beans:bean id="loggerListener" class="org.springframework.security.authentication.event.LoggerListener" />  
      
    <http auto-config="true" access-denied-page="/403.jsp">  
        <intercept-url pattern="/css/**" filters="none" />  
        <intercept-url pattern="/images/**" filters="none" />  
        <intercept-url pattern="/js/**" filters="none" />  
        <intercept-url pattern="/403.jsp" filters="none" />  
        <intercept-url pattern="/" filters="none" />  
        <intercept-url pattern="/login.jsp" filters="none" />  
        <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true" default-target-url="/finance/index.do?listId=CONSUMPTION&page.rowCount=10" />  
        <logout logout-success-url="/login.jsp"/>  
          
        <!-- 防止同一用户多次登录，使第二次登录失败  -->  
        <session-management>  
            <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />  
        </session-management>  
          
         <!-- 增加一个filter，这点与Acegi是不一样的，不能修改默认的filter了，这个filter位于FILTER_SECURITY_INTERCEPTOR之前 -->  
        <custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="urlSecurityFilter" />  
    </http>  
  
    <!-- 一个自定义的filter，必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性，  
        我们的所有控制将在这三个类中实现，解释详见具体配置 -->  
    <beans:bean id="urlSecurityFilter" class="com.maxjay.main.system.web.filter.UrlSecurityInterceptorFilter">  
        <beans:property name="authenticationManager" ref="authenticationManager" />  
        <beans:property name="accessDecisionManager" ref="securityAccessDecisionManager" />  
        <beans:property name="securityMetadataSource" ref="urlSecurityMetadataSource" />  
    </beans:bean>  
  
    <!-- 认证管理器，实现用户认证的入口，主要实现UserDetailsService接口即可 -->  
    <authentication-manager alias="authenticationManager">  
        <authentication-provider user-service-ref="userService">  
            <!--   如果用户的密码采用加密的话，可以加点“盐”  
                <password-encoder hash="md5" />  
            -->  
        </authentication-provider>  
    </authentication-manager>  
  
</beans:beans>  

其中userService实现了UserDetailsService用来与自己的用户表进行适配，UrlSecurityInterceptorFilter继承了AbstractSecurityInterceptor并实现了Filter接口，urlSecurityMetadataSource实现了FilterInvocationSecurityMetadataSource接口，securityAccessDecisionManager实现了AccessDecisionManager接口，它们都通过spring的注解声明为容器的一个对象，所以在配置文件中才能直接引用。

springsecurity3有提供了几个已经实现好的访问决策器，其抽象类为AbstractAccessDecisionManager，它使用投票机制(AccessDecisionVoter)来确定用户有没有权限访问某资源，其实现类有三个：
AffirmativeBased：只要有一个投票器通过即审核通过
ConsensusBased：只有当赞成票>反对票时审核才会通过
UnanimousBased：只要有一个投票器反对，审核就不通过
你可以直接使用该抽象类的实现类，其配置如下：

Java代码  
<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">  
        <!-- false意味着当配置的投票器只投了弃权票时，不允许继续执行 -->  
        <beans:property name="allowIfAllAbstainDecisions" value="false"/>  
        <!-- 配置该决策器所需要的投票器 -->  
        <beans:property name="decisionVoters">  
            <beans:list>  
                <beans:bean class="org.springframework.security.access.vote.RoleVoter"/>  
                <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>  
            </beans:list>  
        </beans:property>  
    </beans:bean>  

分享到：

spring 配置连接Websphere MQ | WCS 配置邮件消息发送

2013-11-19 10:41
浏览 1355
评论(0)
分类:Web前端
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

SpringSecurity3配置及原理简介

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

SpringSecurity3配置及原理简介

评论

发表评论

相关推荐

Commerce JMS

WCS 配置邮件消息发送

windows xp下配置JDK环境变量

EL表达式中fn函数

最近访客更多访客>>