2008-09-08
缩略显示[置顶] 如何在Spring中集成Acegi 2.x安全框架
关键字: acegi, spring security
Acegi是基于Spring的一个开源的安全认证框架,现在的最新版本是Spring Security 2.0。新版本增加了许多新的特性:新特性包括简化的配置,并增加了新的功能,包括OpenID、NTLM、JSR 250注解、AspectJ切入点(pointcut)支持、域ACL增强、RESTful URI授权、组、分级角色、用户管理API、数据库支持的“remember me”,portlet认证、其他语言、Web Flow 2.0支持、Spring IDE可视化及自动完成、通过Spring Web Services 1.5提供的增强WSS支持等等。其中,最明显的就是配置文件的简化。
1.x版本需要配置一个过滤器链以及各个过滤器对应的bean,各个过滤器一般有先后顺序,顺序颠倒了会出现一些意想不到的异常,无疑增加了配置的复杂性。在2.x版本中,框架将过滤器链和各个过滤器的先后顺序作了固化,以降低配置的复杂性、减少配置出错的机率。
下面将详细介绍Spring Security 2.0的配置。
一、在web.xml中的配置
Xml代码
<filter>
<filter-name>securityFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetBeanName</param-name>
<param-value>springSecurityFilterChain</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>securityFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 当过滤器的名称不是springSecurityFilterChain时,需要配置targetBeanName参数,参数值为springSecurityFilterChain -->
<filter>
<filter-name>securityFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetBeanName</param-name>
<param-value>springSecurityFilterChain</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>securityFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 当过滤器的名称不是springSecurityFilterChain时,需要配置targetBeanName参数,参数值为springSecurityFilterChain -->
二、在security.xml中的配置
1、namespace的引用
Xml代码
<b:beans xmlns="http://www.springframework.org/schema/security"
xmlns:b="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">
<b:beans xmlns="http://www.springframework.org/schema/security"
xmlns:b="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.1.xsd"> 2、http节点的配置
Xml代码
<http auto-config="true" lowercase-comparisons="false" path-type="ant" access-denied-page="/accessDenied.jsp" access-decision-manager-ref="accessDecisionManager">
<intercept-url pattern="/index.jsp*" access="ROLE_ANONYMOUS"/>
<intercept-url pattern="/logout.jsp*" access="ROLE_ANONYMOUS"/>
<intercept-url pattern="/accessDenied.jsp*" access="ROLE_ANONYMOUS"/>
<intercept-url pattern="/**/*.jsp*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.htm*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.html*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.action*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.ftl*" access="ADMIN,SYS_MANAGER"/>
<form-login login-page="/index.jsp" always-use-default-target="true" login-processing-url="/j_security_check" authentication-failure-url="/index.jsp?login_error=1" default-target-url="/main.action"/>
<concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="false"/>
<logout logout-url="/j_security_logout" logout-success-url="/index.jsp" invalidate-session="true"/>
</http>
<http auto-config="true" lowercase-comparisons="false" path-type="ant" access-denied-page="/accessDenied.jsp" access-decision-manager-ref="accessDecisionManager">
<intercept-url pattern="/index.jsp*" access="ROLE_ANONYMOUS"/>
<intercept-url pattern="/logout.jsp*" access="ROLE_ANONYMOUS"/>
<intercept-url pattern="/accessDenied.jsp*" access="ROLE_ANONYMOUS"/>
<intercept-url pattern="/**/*.jsp*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.htm*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.html*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.action*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.ftl*" access="ADMIN,SYS_MANAGER"/>
<form-login login-page="/index.jsp" always-use-default-target="true" login-processing-url="/j_security_check" authentication-failure-url="/index.jsp?login_error=1" default-target-url="/main.action"/>
<concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="false"/>
<logout logout-url="/j_security_logout" logout-success-url="/index.jsp" invalidate-session="true"/>
</http> 说明:
lowercase-comparisons:表示URL比较前先转为小写。
path-type:表示使用Apache Ant的匹配模式。
access-denied-page:访问拒绝时转向的页面。
access-decision-manager-ref:指定了自定义的访问策略管理器。当系统角色名的前缀不是默认的ROLE_时,需要自定义访问策略管理器。
login-page:指定登录页面。
login-processing-url:指定了客户在登录页面中按下 Sign In 按钮时要访问的 URL。与登录页面form的action一致。其默认值为:/j_spring_security_check。
authentication-failure-url:指定了身份验证失败时跳转到的页面。
default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。
always-use-default-target:指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。
logout-url:指定了用于响应退出系统请求的URL。其默认值为:/j_spring_security_logout。
logout-success-url:退出系统后转向的URL。
invalidate-session:指定在退出系统时是否要销毁Session。
max-sessions:允许用户帐号登录的次数。范例限制用户只能登录一次。
exception-if-maximum-exceeded: 默认为false,此值表示:用户第二次登录时,前一次的登录信息都被清空。
当exception-if-maximum-exceeded="true"时系统会拒绝第二次登录。
3、自定义访问决策管理器的配置
Java代码
<b:bean id="accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">
<b:property name="allowIfAllAbstainDecisions" value="false"/><!-- 设定是否允许 “没人反对就通过” 的投票策略 -->
<b:property name="decisionVoters"><!-- 投票者 -->
<b:list>
<b:bean class="org.springframework.security.vote.RoleVoter">
<b:property name="rolePrefix" value=""/><!-- 投票者支持的权限前缀,默认是“ROLE_” -->
</b:bean>
</b:list>
</b:property>
</b:bean>
<b:bean id="accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">
<b:property name="allowIfAllAbstainDecisions" value="false"/><!-- 设定是否允许 “没人反对就通过” 的投票策略 -->
<b:property name="decisionVoters"><!-- 投票者 -->
<b:list>
<b:bean class="org.springframework.security.vote.RoleVoter">
<b:property name="rolePrefix" value=""/><!-- 投票者支持的权限前缀,默认是“ROLE_” -->
</b:bean>
</b:list>
</b:property>
</b:bean> 说明:
Acegi提供三种投票通过策略的实现:
1、AffirmativeBased(至少一个投票者同意方可通过)
2、ConsensusBased(多数投票者同意方可通过)
3、UnanimousBased(所有投票者同意方可通过)
4、DAO身份验证提供者的配置
Java代码
<authentication-provider user-service-ref="userDao"/>
<authentication-provider user-service-ref="userDao"/>
三、登录页面
Html代码
<form method="post" id="frmLogin" name="frmLogin" action="<s:url value="/j_security_check"/>">
用户:<input type="text" name="j_username" id="j_username"/>
密码:<input type="password" name="j_password" id="j_password"/>
<input type="submit" value="Sign In"/>
</form>
<form method="post" id="frmLogin" name="frmLogin" action="<s:url value="/j_security_check"/>">
用户:<input type="text" name="j_username" id="j_username"/>
密码:<input type="password" name="j_password" id="j_password"/>
<input type="submit" value="Sign In"/>
</form> 说明:
1、form的action值必须与security.xml配置文件中form-login节点的login-processing-url属性值一致。
2、用于输入用户名的input控件name必须为j_username。
3、用于输入密码的input控件name必须为j_password。
分享到:
相关推荐
在Spring框架中集成Acegi 2.x安全框架,可以实现高度可定制的权限管理和认证机制。Acegi(现已被Spring Security 2.0所取代)是Spring的一个扩展,提供了全面的安全解决方案,包括用户身份验证、访问控制、会话管理...
详细的spring security2.x配置
而"spring-1.2.4.jar"则是Spring框架的一个较旧版本,表明Acegi Security是在Spring 1.x时代设计的,那时候Spring尚未内置完整的安全模块。 首先,让我们了解Acegi Security的主要组件: 1. **Authentication**...
在本资源中,"Spring 3.x企业应用开发实战光盘源码part02" 提供了Spring框架3.x版本的企业级应用开发实例代码。这部分是整个教程源码的第二部分,暗示着可能存在一个第一部分,可能包含了基础的设置和初始化工作。...
Acegi安全框架通过一系列关键组件来实现这些功能,同时它还具备高度的灵活性,可以与各种认证机制(如容器认证、CASSSO、X509等)进行整合,以适应不同的应用场景。 #### Acegi的关键组件 Acegi安全系统由多个关键...
6. **Spring Security**:虽然不是章节名称,但Spring Security(以前称为Acegi Security)在2.x版本中是安全控制的重要组件。它可能被讲解为保护应用程序免受未经授权的访问和攻击的一种方法,包括认证、授权、CSRF...
Spring Security 的前身是Acegi Security,随着Spring框架的发展而逐渐演进,并最终成为Spring Security。自2.0.x版本以来,Spring Security 不断地进行改进和增强,以适应不断变化的安全需求。 **1.3. 发行版本号*...
- Spring Security 3.x也可以与OAuth2协议集成,支持第三方服务的授权,提供安全的API访问。 8. **自定义扩展** - Spring Security的灵活性允许开发者根据需求自定义认证和授权策略,可以通过实现接口或继承类来...
本文将深入探讨基于SpringMVC、SpringSecurity3.x和MyBatis3.x的旧版蓝缘后台管理系统,揭示其核心技术和架构设计。这些技术是企业级Java应用开发中的常见组件,它们的集成为权限管理和数据操作提供了强大的支持。 ...
- **Acegi Security**:Spring 2.x时代的安全模块,提供身份验证、授权等功能,后来发展为Spring Security。 7. **Spring与Java EE的其他整合** - **JMS支持**:Spring提供了JMS模板,简化了消息驱动的生产者和...
Spring Security在Acegi的基础上进行了扩展和优化,提供了更强大的安全特性,如支持OAuth2、JWT等现代认证协议,以及更丰富的配置选项。对于处理Java Web应用的安全问题,熟悉Spring Security是必备的技能。
======================================================================== <br>第1篇 概述 第1章 Spring概述 第2章 快速入门 第2篇 Spring核心技术 第3章 IoC容器概述 第4章 在IoC容器中...
======================================================================== <br>第1篇 概述 第1章 Spring概述 第2章 快速入门 第2篇 Spring核心技术 第3章 IoC容器概述 第4章 在IoC容器中...
《精通Spring 2.x - 企业应用开发详解》是一本深度解析Spring框架2.x版本的专业书籍,涵盖了Spring在企业级应用中的核心技术和实践方法。在第18章和第19章中,作者深入探讨了Spring如何与相关技术如Hibernate、J2EE...
- **Spring Security (Acegi Security)**:提供了安全性的支持。 - **Spring LDAP**:简化了与 LDAP 的交互。 - **Spring Rich Client**:用于构建丰富的客户端应用程序。 - **Spring BlazeDS Integration**:...
10. **Spring Security**:尽管可能不是Spring 2.x的主要内容,但Spring Security(以前称为Acegi Security)是一个强大的安全框架,可用于认证、授权和访问控制。 综上所述,该章节可能详细讲解了Spring在实际项目...
2. **AOP(面向切面编程,Aspect-Oriented Programming)**:Spring提供了对AOP的支持,允许开发者定义横切关注点,如日志、事务管理等,这些关注点可以独立于业务逻辑进行编写和管理。 3. **数据访问集成(Data ...
2. `application.properties`:这个文件用于存储应用的属性,可以包含Grails Acegi插件的配置参数,如用户的认证方式、权限设置等。 3. `plugin.xml`:XML格式的插件配置文件,通常包含插件的版本、作者等信息,有时...
7. **Spring Security**:原名为Acegi Security,是Spring的一个安全模块,提供了认证和授权功能,保护应用程序免受恶意攻击。 8. **Spring Integration**:用于构建企业级应用的集成层,支持异步消息处理、文件...
3. **认证机制**:详述Spring Security的认证流程,如使用用户名/密码登录、Remember Me服务、X.509证书认证等多种认证方式,并介绍自定义认证提供者的实现。 4. **授权策略**:探讨权限分配和访问控制,包括基于...