`
anson_xu
  • 浏览: 514727 次
  • 性别: Icon_minigender_1
  • 来自: 惠州
社区版块
存档分类

我的acegi struts spring hibernate理解

阅读更多
配置文件网上一大堆,随下一个都问题不大,但结合自己的配置有几个点要注意:



1.这里控制文件访问权限:
<bean id="filterInvocationInterceptor"
  class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
<property name="authenticationManager"
  ref="authenticationManager"/>
<property name="accessDecisionManager">
   <ref local="accessDecisionManager"/>
</property>
<!-- property name="objectDefinitionSource"
  ref="filterDefinitionSource"/-->
  <!--
         filterInvocationInterceptor在执行转向url前检查objectDefinitionSource中设定的用户权限信息
         过程:
         首先,objectDefinitionSource中定义了访问URL需要的属性信息(这里的属性信息仅仅是标志,告诉accessDecisionManager要用哪些voter来投票)
         然后,authenticationManager掉用自己的provider来对用户的认证信息进行校验。
         最后,有投票者根据用户持有认证和访问url需要的属性,调用自己的voter来投票,决定是否允许访问。
     -->
<property name="objectDefinitionSource">
    <value>
    CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
    PATTERN_TYPE_APACHE_ANT
    /admin/**=ROLE_ADMIN,ROLE_USER
    /users/**=ROLE_USER,ROLE_ADMINISTRATOR
    /web-inf/users/**=ROLE_ADMINISTRATOR
   </value>
   
</property>
</bean>
其中ROLE_ADMIN,ROLE_USER是你数据库表里存的角色名,随便你改吧.
2.此处可以把sql语句写在这,也可以自己写UserDetailsService 实现.
目的是返回这个user给它
org.acegisecurity.userdetails.User(username, user.getPassword(),
           true, true, true, true, this.grantedAuthArray);

如是:
<bean id="daoAuthenticationProvider"
  class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
  <!-- 此处可以自己写DAO实现userDetailsService -->
<property name="userDetailsService" ref="userDetailsService"/>
<property name="userCache" ref="userCache"/>
<!-- <property name="passwordEncoder" ref="passwordEncoder"/>   -->
</bean>
<bean id="userDetailsService"
class="com.lottery.service.AcegiUserDeitailsService">
<property name="dbManager" ref="dbManager" />
</bean>

如我的:
public class AcegiUserDeitailsService implements UserDetailsService {
private final Log LOG = LogFactory.getLog(AcegiUserDeitailsService.class);
/* 依赖注入 */
private DBManager dbManager;

/* 用户所有的权限 */
//private final List<GrantedAuthority> grantedAuthList = new ArrayList<GrantedAuthority>(6);
private GrantedAuthority[] grantedAuthArray;

public UserDetails loadUserByUsername(String username)
    throws UsernameNotFoundException, DataAccessException {
   if(LOG.isDebugEnabled()) {
    LOG.debug("Loading UserDetails of userName: " + username);
   }
   /* 取得用户信息 */
   List<LotteryUsers> userList = findAllByUsername(username);
   LotteryUsers user = null;
   if(userList!=null&&!userList.isEmpty()){
      user = (LotteryUsers)userList.get(0);
   }
   if(user == null) {
    LOG.warn("UserDetails load failed: No such UserRole with userName: " + username);
            throw new UsernameNotFoundException("User name is not found.");
   }
   /* 取得所有用户权限 */
   List<String> userRoleList = findGroupNameByUsername(username);
   if(userRoleList == null || userRoleList.size() == 0) {
    LOG.warn("UserRole load failed: No such UserRole with userName: " + username);
            throw new UsernameNotFoundException("UserRole is not found.");
   }
   /* 取得用户的所有角色 */
   int size = userRoleList.size();
   grantedAuthArray = new GrantedAuthority[size];
   int j = 0;
   for(int i = 0; i < size; i++) {
    String userRole = userRoleList.get(i);
    if(userRole != null) {
     this.grantedAuthArray[j++] = new GrantedAuthorityImpl(userRole.toUpperCase());
    }
   }
   LOG.info("UserName: " + username + " loaded successfully.");
        return new org.acegisecurity.userdetails.User(username, user.getPassword(),
           true, true, true, true, this.grantedAuthArray);
}

//按用户名查找user
public List<LotteryUsers> findAllByUsername(String username) {
List<LotteryUsers> list = new ArrayList<LotteryUsers>();
LotteryUsers user = new LotteryUsers();
String sql = "SELECT * FROM "+Constants.DATABASEPRE_KEY+"users u WHERE u.username='"+username+"' and u.enable=1";
ResultSet rs = dbManager.execute(sql);
try {
while(rs.next()){
user.setUsername(rs.getString("username"));
user.setPassword(rs.getString("password"));
user.setEnable(rs.getShort("enabled"));
list.add(user);
}
} catch (SQLException e) {
// TODO Auto-generated catch block
System.out.println("class LotteryUsersDAOImpl's method findAllByUsername() error");
e.printStackTrace();
}finally{
try {
rs.close();
dbManager.close();
} catch (SQLException e) {
            System.out.println(" class lotteryUsersDAOImpl's method findAllByUsername() close dbManager accoure error");
e.printStackTrace();
}

}
return list;
}

public List<String> findGroupNameByUsername(String username) {
List<String> list = new ArrayList<String>();
String sql = "SELECT g.name name FROM "+Constants.DATABASEPRE_KEY+"users u,"+Constants.DATABASEPRE_KEY+"groups g"+
" WHERE g.id=u.group_id and u.username='"+username+"' and u.enable=1";
ResultSet rs = dbManager.execute(sql);
try {
while(rs.next()){
list.add(rs.getString("name"));
}
} catch (SQLException e) {
System.out.println(this.getClass().getName()+"dbManager execute error");
e.printStackTrace();
}finally{
try {
rs.close();
dbManager.close();
} catch (SQLException e) {
            System.out.println(" class lotteryUsersDAOImpl's method findGroupNameByUsername() close dbManager accoure error");
e.printStackTrace();
}
}
return list;
}

public DBManager getDbManager() {
return dbManager;
}

public void setDbManager(DBManager dbManager) {
this.dbManager = dbManager;
}
}
也可以:
<bean id="jdbcDaoImpl" class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">
  <property name="dataSource" ref="dataSource"/>     
  <property name="usersByUsernameQuery">          
   <value>select username, password, enabled from user where username = ? and enabled = 1</value>      
  </property>
  <property name="authoritiesByUsernameQuery">          
   <value>
    select u.username, a.authority
    from user u, authorities a, user_auth ua
    where u.id=ua.user_id and a.id=ua.auth_id and u.username=?
   </value>      
  </property>
</bean>



3.类,方法的权限控制(两种):
<bean id="methodSecurityInterceptor" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">
   <property name="validateConfigAttributes" value="false" />
   <property name="authenticationManager" ref="authenticationManager" />
   <property name="accessDecisionManager" ref="accessDecisionManager" />
   <property name="objectDefinitionSource">
         <bean class="org.acegisecurity.intercept.method.MethodDefinitionAttributes">
             <property name="attributes">
               <!--  利用1.5Annotation的設定方式 -->
               <bean class="org.acegisecurity.annotation.SecurityAnnotationAttributes" />
             </property>
           </bean>
  </property>
</bean> 
<!-- 利用Spring的自动代理功能实现AOP代理 -->
<bean id="autoProxyCreator" class="org.springframework.aop.framework.autoproxy.BeanNameAutoProxyCreator">
  <property name="interceptorNames">
       <list>
      <value>methodSecurityInterceptor</value>
       </list>
  </property>
  <property name="beanNames">
       <list>
     <!--  需要保护的方法,在方法中用注释@Transactional(readOnly=true)
          @Secured({"ROLE_MANAGER"})
       -->
     <value>lotteryOddsImpl</value>
     <value>lotteryUsersDAOImpl</value>
     </list>
   </property>
   <!--property name="proxyTargetClass" value="true"/-->
</bean>
然后在相应的接口方法中用注释:
          @Secured({"ROLE_ADMIN"})
public void update(Users Users);

也可以:
<!-- 过滤拦截器 -->
<bean id="filterInvocationInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
      <property name="authenticationManager"><ref bean="authenticationManager"/></property>
      <property name="accessDecisionManager"><ref local="httpRequestAccessDecisionManager"/></property>
      <property name="objectDefinitionSource">
         <value>
       PATTERN_TYPE_APACHE_ANT
     
       <!-- 所有用户的权限 -->
       /searchUser.do=AUTH_USER,AUTH_ROOT,AUTH_RELEASER,AUTH_AUDITOR
    /updateInformation.do=AUTH_USER,AUTH_ROOT,AUTH_RELEASER,AUTH_AUDITOR
     
       <!-- 普通用户的权限 -->
    /preOrderAd.do=AUTH_USER
    /orderAd.do=AUTH_USER
    /myAdList.do=AUTH_USER
    /findReOrderAd.do=AUTH_USER
    /ReOrder.do=AUTH_USER
   
    <!--==== 超级管理员的权限 ====-->
   
    <!-- 审核员的权限 -->
    /noaudit.do=AUTH_AUDITOR,AUTH_ROOT
    /allAuditAdNoPass.do=AUTH_AUDITOR,AUTH_ROOT
    /auditedAd.do=AUTH_AUDITOR
    /audited.do=AUTH_AUDITOR,AUTH_ROOT
    /notify.do=AUTH_AUDITOR,AUTH_ROOT
    /editAuditedEmail.do=AUTH_AUDITOR,AUTH_ROOT
   
    <!-- 发布员的权限 -->
    /unpaymentOrderList.do=AUTH_RELEASER,AUTH_ROOT
    /paymentOrderList.do=AUTH_RELEASER,AUTH_ROOT  
   
    <!-- 超级管理员的权限 -->
    /manageAdpos.do=AUTH_ROOT
    /manageUser.do=AUTH_ROOT
    /addNewAdpos.do=AUTH_ROOT


         </value>
      </property>
    </bean>

2
0
分享到:
评论

相关推荐

    Struts Spring Hibernate整合实践.doc

    Struts、Spring和Hibernate是Java开发中的三大框架,它们分别负责MVC模式的视图、控制和持久化层。这篇文章将介绍如何将这三个框架整合在一起,以实现一个基础的用户登录和注册功能,并且自定义了一个显示所有用户...

    Acegi + Spring + Hibernate + Struts2搭建

    本篇文章将探讨如何使用Acegi、Spring、Hibernate和Struts2这四大组件共同构建一个基于角色的权限控制系统(Role-Based Access Control, RBAC),以确保系统的安全性。 首先,我们需要理解认证和授权这两个基本的...

    struts spring hibernate 宠物医院例子

    Struts、Spring 和 Hibernate 是 Java 开发中三大主流框架,它们常常被联合使用,被称为 SSH(Struts-Spring-Hibernate)集成框架。这个"宠物医院例子"是一个基于 SSH 框架的实战项目,旨在帮助开发者理解如何在实际...

    Acegi + Spring + Hibernate + Struts 2搭建基于角色的权限控制系统

    Acegi(现已被Spring Security替代)是一个强大的安全框架,可以与Spring、Hibernate和Struts 2等其他技术结合,实现基于角色的权限控制(Role-Based Access Control, RBAC)。这篇文档将探讨如何使用Acegi,以及SSH...

    struts + spring + hibernate + velocity + ajax + jotm + acegi

    struts + spring + hibernate + velocity + ajax + jotm + acegi

    Struts2+Spring+Hibernate3+Acegi.rar

    这个名为"Struts2+Spring+Hibernate3+Acegi.rar"的压缩包提供了一个整合了这四个组件的示例项目,便于开发者学习和理解如何在实际应用中集成这些技术。 首先,Struts2是MVC(Model-View-Controller)架构的一个实现...

    Struts2+Spring4+Hibernate5 整合JAR包

    Struts2、Spring4和Hibernate5是Java Web开发中的三个核心框架,它们分别负责MVC模式中的表现层、业务层和服务层。这三个框架的整合,通常被称为SSH整合,能够实现高效、灵活且松耦合的Web应用开发。下面将详细阐述...

    STRUTS+SPRING+HIBERNATE内部培训教程

    【STRUTS+SPRING+HIBERNATE内部培训教程】深入解析 SSH(Struts+Spring+Hibernate)是Java企业级应用开发中常见的技术栈,它提供了强大的模型-视图-控制器(MVC)架构支持,以及持久层和业务层的优秀解决方案。本...

    权限管理系统struts2+spring+hibernate+mysql

    Struts2、Spring、Hibernate和MySQL是Java Web开发中常用的技术栈,它们组合起来可以构建一个功能完善的权限管理系统。下面将分别介绍这四个组件及其在权限管理中的应用。 1. **Struts2**:Struts2是一个基于MVC...

    struts2+spring+hibernate权限系统

    Struts2+Spring+Hibernate权限系统是一个经典的Java Web开发架构,用于构建高效、可扩展的企业级应用程序。这个架构结合了三个强大的开源框架:Struts2作为MVC(模型-视图-控制器)框架,Spring作为服务层管理和依赖...

    struts2+spring+hibernate实验设备管理系统

    本文将围绕一个基于Struts2、Spring和Hibernate框架的实验设备管理系统进行深入探讨,旨在帮助读者理解这三大框架的集成应用以及在实际项目中的运用。 首先,Struts2作为一款强大的MVC(Model-View-Controller)...

    Acegi+Hibernate+Spring+JSF列子

    Acegi、Hibernate、Spring 和 JSF 是 Java 企业级开发中的四大重要框架,它们共同构建了一个强大、灵活且可扩展的Web应用程序体系结构。在这个"Acegi+Hibernate+Spring+JSF例子"中,我们可以看到这四个框架如何协同...

    spring struts hibernate互相整合

    在IT行业中,Spring、Struts和Hibernate是三个非常重要的开源框架,它们分别专注于不同领域的功能。Spring是一个全面的Java企业级应用开发框架,提供依赖注入(DI)和面向切面编程(AOP)等核心特性;Struts是MVC...

    spring security3,spring3.0,hibernate3.5,struts2

    Spring Security、Spring 3.0、Hibernate 3.5 和 Struts2 是四个在Java开发领域广泛应用的开源框架,它们各自在不同的层面上为应用程序提供服务。本文将深入探讨这些框架的功能、集成方式以及如何构建一个基于它们的...

    使用spring+struts+hibernate实现的登录

    这个"使用spring+struts+hibernate实现的登录"示例是一个基础教程,适合初学者理解这三大框架如何协同工作。 Spring框架是SSH中的核心,它提供了一个全面的编程和配置模型,可以处理应用的多个方面,包括依赖注入、...

    精通J2EE--ECLIPSE、STRUTS、HIBERNATE及SPRING整合应用案例代码-login

    在登录案例中,Spring可以用来管理Struts Action、Hibernate SessionFactory等对象的生命周期,同时,Spring的安全模块(Spring Security,原名Acegi)可能被用来处理用户认证,防止非法登录。 文件“login”可能...

    struts+hibernate+spring+oracle实现的车辆管理系统

    Struts、Hibernate、Spring 和 Oracle 是企业级应用开发中常用的技术栈,它们组合起来可以构建出高效、稳定且功能丰富的车辆管理系统。以下是对这些技术及其在车辆管理系统中的应用的详细说明: 1. **Struts 2**:...

    Struts2+Spring2+Hibernate3实现登录

    Struts2、Spring2和Hibernate3是经典的Java企业级开发框架组合,通常称为SSH框架。这个项目是一个基于SSH的登录实现,使用Oracle数据库,并且仅依赖一张由Hibernate配置自动生成的表。对于初学者来说,这是一个很好...

Global site tag (gtag.js) - Google Analytics