Acegi基本原理等
http://acegi.group.iteye.com/group/wiki/375
Spring Security 3.x 完整入门教程
http://www.blogjava.net/fastzch/archive/2011/04/18/315028.html
- 关键步骤
1. 添加filter声明到web.xml
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>
org.springframework.web.filter.DelegatingFilterProxy
</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<context-param> <param-name>contextConfigLocation</param-name> <param-value>..., /WEB-INF/pm-applicationContext-security.xml</param-value> <!--Spring Security用到的配置文件,可以取自己喜欢的名字--> </context-param>
2. 使用安全命名空间配置<http>
3. 配置<authentication-manager>
- 典型实例:
A. Example 1 - 最简单的例子(无任何代码需要,常用于测试或者十分简单的认证授权管理)
Step 1: web.xml中的配置无特别之处, 参考上面的关键步骤1
Step 2: 在Spring Security配置文件中添加如下配置
<http auto-config='true'>
<intercept-url pattern="/**" access="ROLE_USER"/>
</http>
Step 3: 在Spring Security配置文件中添加如下配置
<authentication-manager>
<authentication-provider>
<user-service>
<user name="jimi" password="jimispassword" authorities="ROLE_USER,ROLE_ADMIN"/>
<user name="bob" password="bobspassword" authorities="ROLE_USER" />
</user-service>
</authentication-provider>
</authentication-manager>
B. Example 2 - 自定义认证管理器和决策管理器(通过插入自定义的过滤器来实现, 实现灵活和复杂的认证授权管理)
Step 1: web.xml中的配置无特别之处, 参考上面的关键步骤1
Step 2: 在Spring Security配置文件中添加类似如下配置
<http access-denied-page="/403.jsp">
<!--对每个资源URI的权限控制,配置在这里-->
<intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<intercept-url pattern="/index.html*" access="ROLE_HILL"/>
<intercept-url pattern="/client.jsp*" access="ROLE_CLIENT"/>
<intercept-url pattern="/page.jsp*" access="ROLE_PAGE"/>
<intercept-url pattern="/admin.html*" access="ROLE_ADMIN"/>
<intercept-url pattern="/**" access="ROLE_USER" />
<form-login login-page="/login.jsp"
authentication-failure-url="/login.jsp?error=true"
default-target-url="/index.jsp" />
<logout logout-success-url="/login.jsp" />
<http-basic />
<custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="PmFilter" />
</http>
Step 3: 登录页面login.jsp
<form action='/%context_path%/j_spring_security_check' method='POST'> <table> <tr> <td>User:</td> <td><input type='text' name='j_username' value=''></td> </tr> <tr> <td>Password:</td> <td><input type='password' name='j_password'/></td> </tr> <tr> <td colspan='2'><input name="submit" type="submit" value="Login"/></td> </tr> </table> </form>
Step 4: 在Spring Security配置文件中添加类似如下配置
我们的所有控制将在这三个类中实现,解释详见具体配置 -->
<beans:bean id="PmFilter" class="com.pan.hill.security.PmFilterSecurityInterceptor">
<beans:property name="authenticationManager" ref="authenticationManager" />
<beans:property name="accessDecisionManager" ref="PmAccessDecisionManagerBean" />
<beans:property name="securityMetadataSource" ref="securityMetadataSource" />
</beans:bean>
<!-- 认证管理器authenticationManager,实现用户认证的入口,主要实现UserDetailsService接口即可 -->
<authentication-manager alias="authenticationManager">
<authentication-provider user-service-ref="PmUserDetailService">
<!-- 如果用户的密码采用加密的话,可以加点“盐” --><password-encoder hash="sha" />
</authentication-provider>
</authentication-manager>
<beans:bean id="PmUserDetailService" class="com.pan.hill.security.PmUserDetailService" />
<!-- 访问决策器accessDecisionManager,决定某个用户具有的角色,是否有足够的权限去访问某个资源 -->
<beans:bean id="PmAccessDecisionManagerBean" class="com.pan.hill.security.PmAccessDecisionManager">
</beans:bean>
<!-- 资源源数据定义securityMetadataSource,即定义某一资源可以被哪些角色访问 -->
<beans:bean id="securityMetadataSource" class="com.pan.hill.security.PmInvocationSecurityMetadataSource" />
Step 5: 实现custom-filter、authentication-provider、accessDecisionManager、securityMetadataSource
例子分别如下:PmFilterSecurityInterceptor、PmUserDetailService、PmAccessDecisionManager、PmInvocationSecurityMetadataSource
PmFilterSecurityInterceptor: 拦截器,是进行认证授权处理的起点;
PmUserDetailService:认证(authentication)信息加载,用户基本信息(密码、权限等)加载;
PmAccessDecisionManager:授权(authorization),对当前用户的实际ROLE和访问当前资源所需要的ROLE进行比较,如果符合,正常返回;否则,抛出异常;
PmInvocationSecurityMetadataSource: 授权(authorization)信息加载,加载资源(URI)和ROLE的对应关系,提供方法getAttributes(), 这个方法根据URL得到访问该URL应该拥有的ROLE集合;
Step 6: 实现URL和访问权限的对应关系,实际代码是实现在PmInvocationSecurityMetadataSource的loadResourceDefine() 方法中 (这个方法的代码如何实现,直接关系到访问权限配置的格式)
3 Key points:
i. login form的action属性值, user name, password字段名要符合spring security framework要求;
ii. 认证(authentication)信息加载在UserDetailService中实现;
iii. 对每个资源URI的权限控制设置,配置在spring security配置文件中.
P.S. 网上的一篇spring security详解教程,觉得不错,转过来
http://ljx1619.iteye.com/blog/468166
相关推荐
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security 是一个强大的Java安全框架,用于...总的来说,Spring Security 3的学习笔记和源码分析对提升安全开发技能大有裨益,不仅可以加深理论理解,还能在实际项目中灵活运用,构建更加健壮、安全的应用系统。
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
这篇教程的学习笔记将带你深入理解其核心概念和工作原理。首先,我们来概述 Spring Security 的基本架构和主要组件。 **1. ** **Spring Security 架构** Spring Security 的架构基于过滤器链,它拦截并处理应用...
3. **SpringBoot整合SpringSecurity** - `spring-boot-starter-security`依赖:SpringBoot项目中添加此依赖即可自动配置SpringSecurity。 - 自定义登录页面:通过设置`loginPage`和`loginProcessingUrl`属性,可以...
《Spring Security 3笔记》 在深入探讨Spring Security 3的知识点之前,我们先了解下这个框架的基本概念。Spring Security是Spring生态系统中的一个组件,它为Java应用提供了全面的安全服务,包括认证、授权以及Web...
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,它为Web应用和企业级应用提供了全面的...通过学习这些文档,开发者可以更好地理解Spring Security的工作原理,从而更有效地实现应用的安全控制。
spring security学习笔记
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
这份"Spring学习笔记+学习源码.zip"资源包含了深入学习Spring及其相关技术的知识点,以及实践代码,对提升Spring技能将大有裨益。 首先,我们来详细讨论Spring框架的主要组件和功能: 1. **依赖注入(Dependency ...
Spring Security 是一个强大的且高度可定制的框架,用于为Java应用程序提供身份验证和授权服务。它主要用于保护基于Spring的...通过学习本笔记,你可以逐步掌握Spring Security的基础知识,并将其运用到实际项目中。
3. **使用Spring Security的访问决策管理器(AccessDecisionManager)**:如果你希望控制哪些角色可以访问静态资源,可以实现自己的访问决策管理器,然后在配置中指定使用这个管理器。 4. **使用HTTP基本认证或OAuth2...
spring security方面的学习资料,包含:Spring+Security+3+与+CAS单点登录配置;Spring+Security3中文教程;Spring-Security安全权限管理手册;Spring+Security文库;还有一个学习笔记!
在"SpringSecurity笔记2-SpringSecurity命名空间"的学习中,还会涉及到如何自定义过滤器链,以及如何通过`<custom-filter>`元素插入自定义的SpringSecurity过滤器。同时,理解`<access-denied-handler>`和`...
在本学习笔记中,我们将深入探讨Spring Security的核心概念和配置,以及如何设计数据库表来支持权限管理。 首先,Spring Security的配置始于Web应用的入口点——`web.xml`文件。在这里,我们需要定义一个名为`...
通过学习其中的代码、笔记和文档,你将理解Spring Security如何与Spring框架协同工作,如何设置认证和授权,以及如何保护你的应用程序免受常见安全威胁。这是一个很好的起点,可以帮助你在Java安全领域打下坚实的...
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...
配合压缩包中的"配套笔记_Spring Security OAuth2.0认证授权_v1.1",读者可以详细学习如何在实际项目中设置这些组件,以及如何处理授权过程的每一个步骤。笔记可能涵盖了创建自定义授权服务器和资源服务器的配置,...