`
KimShen
  • 浏览: 34929 次
  • 性别: Icon_minigender_1
  • 来自: 上海
文章分类
社区版块
存档分类
最新评论

Spring Security&&Acegi 动态权限

阅读更多
Acegi是非常优秀的开源安全框架.Acegi2开始更名为Spring Security.
提供了简化的配置标签.(其实Acegi配置并不复杂,Spring Security为了配置文件上的简洁隐藏了很多底层配置,反而让灵活性下降了一个档次)

Acegi部分:

一,分析:
动态修改权限无非就几种形式,AOP,修改注入Bean,重写底层代码等.
重写底层代码肯定不现实,所以不考虑。AOP的特点是代理,把返回的权限在代理的层面替换掉.因为修改权限不是每次都需要,所以AOP明显的增加了系统开销,所以最后选择修改注入Bean.

附上一段
<bean id="filterSecurityInterceptor"
class="org.springframework.security.intercept.web.FilterSecurityInterceptor">
...
<property name="objectDefinitionSource">
<value>
CONVERT_URL_TO_UPPERCASE_BEFORE_COMPARISON
PATTERN_TYPE_APACHE_ANT
admin.*=User_Admin
/admin/*=User_Admin
/allUser.*=User_Customer,User_Admin
/allUser/*=User_Customer,User_Admin
</value>
</property>
</bean>

很明显,权限的信息和objectDefinitionSource有关.
objectDefinitionSource是接口FilterInvocationDefinitionSource
的某个子类实现,查看API,DefaultFilterInvocationDefinitionSource是唯一被实现的子类.并且提供了入参构造.所以他就是我们下手的目标。

DefaultFilterInvocationDefinitionSource
(UrlMatcher urlMatcher, LinkedHashMap requestMap)
urlMatcher表示构造的样式(ANT或者正则)
LinkedHashMap表示权限的信息

----------------------------------------------------------------------

二,提供资源

既然是动态修改,那就必须提供一个统一的资源注入接口
interface Source {
public Map<String,String> getSource();
}
Map表示一个资源内容

提供一个我的实现,这是一个从*.properties读取权限的子类.
public Map<String, String> getSource() {
return doReload();
}
protected Map<String, String> doReload() {
Map<String, String> map = null;
Boolean isNull = null;
try {
Properties pro = PropertiesLoaderUtils.loadAllProperties(proName);
isNull = pro.size() != 0 ? false : true;
if (!isNull) {
map = new LinkedHashMap<String, String>();
Iterator<Map.Entry<Object, Object>> it = pro.entrySet().iterator();
while (it.hasNext()) {
Map.Entry entry = it.next();
map.put(entry.getKey().toString(), entry.getValue().toString());
}
}
}
catch (IOException ex) {
throw new RuntimeException(ex);
}
return map;
}
这是一个简单的从配置文件读取内容的代码,PropertiesLoaderUtils是Spring提供的工具类

三,构造DefaultFilterInvocationDefinitionSource
DefaultFilterInvocationDefinitionSource需要urlMatcher和LinkedHashMap
首先,构造LinkedHashMap
source表示一个Source实现类
LinkedHashMap<RequestKey, ConfigAttributeDefinition> urlMap = new LinkedHashMap<RequestKey, ConfigAttributeDefinition>();
Iterator<Map.Entry<String, String>> it = source.getSource().entrySet().iterator();
while (it.hasNext()){
Map.Entry<String, String> entry = it.next();
urlMap.put(new RequestKey(entry.getKey()),
new ConfigAttributeDefinition(StringUtils.commaDelimitedListToStringArray(entry.getValue())));
}
StringUtils是Spring提供的工具类用于分割逗号分割的权限

然后,构造UrlMatcher
private UrlMatcher createMatcher(boolean useAnt,boolean converUrlToLowerCase) {
UrlMatcher matcher;
// 如果是ANT
if (useAnt) {
matcher = new AntUrlPathMatcher();
((AntUrlPathMatcher) matcher).setRequiresLowerCaseUrl(converUrlToLowerCase);
}
// 如果是正则
else {
matcher = new RegexUrlPathMatcher();
((RegexUrlPathMatcher) matcher).setRequiresLowerCaseUrl(converUrlToLowerCase);
}
return matcher;
}

最后,合并为一个DefaultFilterInvocationDefinitionSource
isDIRECTIVE_PATTERN_TYPE_APACHE_ANT
Boolean类型,用于表示是否使用大小写转换,默认true
isDIRECTIVE_CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
是Boolean类型,用于表示使用Ant样式,默认true
DefaultFilterInvocationDefinitionSource(createMatcher(isDIRECTIVE_PATTERN_TYPE_APACHE_ANT,isDIRECTIVE_CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON),urlMap);
OK,构造完成.

四,替换
回到
<bean id="filterSecurityInterceptor"
class="org.springframework.security.intercept.web.FilterSecurityInterceptor">
...
<property name="objectDefinitionSource">
<value>
CONVERT_URL_TO_UPPERCASE_BEFORE_COMPARISON
PATTERN_TYPE_APACHE_ANT
admin.*=User_Admin
/admin/*=User_Admin
/allUser.*=User_Customer,User_Admin
/allUser/*=User_Customer,User_Admin
</value>
</property>
</bean>
filterSecurityInterceptor(FilterSecurityInterceptor)提供了set
ObjectDefinitionSource.所以可以很方便的注入替换.
----------------------------------------------------------------------

以上基本已经完成了动态修改的核心部分.
考虑到MVC框架如此之多,选了比较流行Struts2+Spring的组合模拟一下场景:
WebRoot/WEB-INF/admin/*
允许管理员访问
WebRoot/WEB-INF/allUser/*
允许管理员和客户访问

从.../项目/login.action开始登陆,进入AllUser的页面
1, 试图进入Admin页面由于权限错误被拦截
2, 返回到AllUser页面,登陆修改权限的页面
3, 返回到AllUser页面,进入Admin页面.可以进入
4, 修改配置文件的权限
5, 返回到AllUser页面,登陆修改权限的页面
6, 试图进入Admin页面由于权限错误被拦截

测试正确

版本信息:
Spring2.5.6
Struts2.1.6
SpringSecurity2.0.4
---------------------------------------------------------------------

由于工作繁忙,基于领域类的动态权限修改和基于注解的领域类动态权限修改稍后再提供.关于SpringSecurity的相关修改方法也会在稍后放出。



分享到:
评论
2 楼 KimShen 2009-06-18  
领域对象阿,说白了就是SpringSecurity的AOP方式。可以做到细颗粒的权限
1 楼 xuzhfa123 2009-06-18  
查了这么多springsecurity相关资料,权限控制基本上是到模块,如果粒度再细一下,也就是说,控制增,删,改,查之类操作,能否做到?方案是什么?

相关推荐

    Spring Acegi权限控制

    Spring Acegi权限控制是Spring框架中用于实现Web应用安全的一种解决方案。Acegi Security(现已被Spring Security替代)是一个功能强大的安全框架,它主要解决了认证(Authentication)和授权(Authorization)这两...

    spring security3 中文版本

    - **安全和 AOP 建议**:Spring Security 提供了 AOP 支持,可以用来在运行时动态地决定是否允许执行特定的方法调用。 - **安全对象和 AbstractSecurityInterceptor**:提供了抽象的安全拦截器,可以用于拦截方法...

    spring-security 官方文档 中文版

    Spring Security 最初是由 Luke Taylor 和 Ray Ryan 开发的名为 Acegi Security 的项目,在 2005 年被并入 Spring 项目,并重新命名为 Spring Security。自那时起,Spring Security 经历了多个版本的迭代,不断地...

    Grails + Spring Security 权限控制

    Spring Security,原名Acegi Security,是Spring框架的一个扩展,用于提供身份验证和授权服务,适用于Java和Groovy应用。 首先,我们需要在Grails项目中添加Spring Security插件。这通常通过在`build.gradle`文件中...

    spring-security所需要的jar包,

    在使用这些库时,开发者需要确保他们的项目配置正确,包括Spring Security的配置文件(如 applicationContext-security.xml),以及对所需安全功能的定制,例如登录页面、权限控制、会话管理等。同时,源代码和测试...

    Spring-Security安全权限管理手册

    - **Spring Security的起源与发展**:Spring Security最初被称为**Acegi**,它是一个独立的安全框架,后来由于其与Spring框架的高度集成性,在2.0版本时被正式纳入Spring框架之下,成为其子项目之一。 - **选择...

    Spring Security 把授权信息写入数据库

    通过这样的配置,Spring Security能够动态地从数据库中加载用户的授权信息,而不再依赖XML配置。 总结,Spring Security通过数据库存储授权信息,使得安全配置更加灵活,同时降低了维护成本。通过自定义`...

    spring的acegi应用

    标题“spring的acegi应用...总之,Spring Security(前身Acegi Security)是Spring框架中不可或缺的安全组件,用于实现应用程序的用户认证和权限控制。通过学习和实践,开发者可以构建出高度安全且易于维护的Web应用。

    spring security 安全权限管理手册

    ### Spring Security 安全权限管理手册 #### 第一部分:基础篇 ##### 第1章:一个简单的 HelloWorld 在这一章节中,我们将了解如何搭建一个最基础的 Spring Security 项目,并通过一个简单的示例来理解 Spring ...

    acegi(Spring Security) 参考手册

    《Acegi(Spring Security)参考手册》是一份专为Java开发者设计的重要文档,主要聚焦于Spring Security,这是一个广泛使用的安全框架,用于保护基于Java的企业级应用程序。本手册详细阐述了如何在Spring应用程序中...

    Spring Security学习总结一

    Spring Security,前身为Acegi Security,自2007年底加入Spring Portfolio后,正式更名。它是Spring Framework下的一个子项目,专注于为基于Spring的应用提供全面的安全解决方案。该框架的核心优势在于其高度的可...

    Spring Security 中文教程.pdf

    - **发展历程**:Spring Security的发展历程可以追溯到早期的ACEGI Security项目,后来被集成到Spring框架中,并经过多次迭代更新,形成了如今功能强大且灵活的Spring Security框架。 - **获取方式**: - **项目...

    spring security 2 配置说明

    Spring Security 2实际上是在Acegi Security的基础上发展而来的,Acegi2.0是Spring Security的一个前身版本。它引入了一系列改进,使得配置变得更加简洁高效。Spring Security 2的核心目标是提供一个强大的、可扩展...

    Spring Security 2 参考手册 中文版 (html格式)

    `ca.html`和`springsecurity.html`的详细内容没有明确的描述,但根据常规,它们可能涉及证书权威(CA)和Spring Security的其他核心概念,比如自定义安全逻辑或者框架的高级特性。 总的来说,Spring Security 2 的...

    spring acegi 详细文档

    首先,Acegi的主要目标是保护Spring应用免受非法访问,它提供了丰富的功能来实现用户认证、会话管理、权限控制以及安全相关的异常处理。Acegi的核心组件包括`AuthenticationManager`、`AccessDecisionManager`和`...

    spring-security-2.0.4.zip

    Spring Security,原名为Acegi Security,是Spring框架的一个扩展,专为Java企业级应用程序提供安全服务。它是一个强大且高度可配置的安全框架,用于处理身份验证、授权以及访问控制等安全问题。在2.0.4版本中,...

    spring security3,spring3.0,hibernate3.5,struts2

    首先,Spring Security(原名Acegi Security)是一个强大的安全框架,它提供了认证、授权、访问控制等功能,适用于Web应用程序和企业级应用。Spring Security可以防止未授权的访问,保护用户数据,并允许灵活地定义...

    Acegi(Spring Security2.0)的PPT

    总的来说,Acegi(Spring Security 2.0)是一个强大且灵活的安全框架,它为Java开发者提供了构建安全企业级应用所需的所有工具,包括用户认证、权限管理、会话管理以及与多种数据存储的集成。通过熟练掌握Acegi或...

Global site tag (gtag.js) - Google Analytics