正式工作开始快两个月了,对程序员、软件的理解也加深了许多。一直以来都想研究一下user 与 authorit,感觉它是程序的第一层保护,应该蛮重要的。以前不知道从哪下手,前段时间公司老总要我们自已看看江南白衣的springside,于是就下了一个3.3.1的版本。看到里到的用了spring security ,感觉应该是一个蛮好的工具(小菜想法是这样想的,呵呵)。
Springside 3.3.1中权限控制用的是用户-角色-授权的方式。相应的建立了三张表
acct_authority 权限表
acct_role 角色表
acct_role_authority 角色权限关系表
acct_user 用户表
acct_user_role 用户角色关系表
spring security 设计了一个<http>标签用来配置url与 授权 的关系
applicationContext-security.xml:
<description>SpringSecurity安全配置</description>
<!-- http安全配置 -->
<!-- auto-config属性其实是<form-login/>,<http-basic/>,<logout/>的缩写.
没配置登录页面的情况下,spring自动生成一个. -->
<s:http auto-config="true" use-expressions="true">
<s:intercept-url pattern="/css/**" filters="none" />
<s:intercept-url pattern="/img/**" filters="none" />
<s:intercept-url pattern="/js/**" filters="none" />
<!-- 设置通过这个url需要什么样的权限 -->
<s:intercept-url pattern="/account/user!save*" access="hasAnyRole('ROLE_修改用户')" />
<s:intercept-url pattern="/account/user!delete*" access="hasAnyRole('ROLE_修改用户')" />
<s:intercept-url pattern="/account/user*" access="hasAnyRole('ROLE_浏览用户')" />
<s:intercept-url pattern="/account/role!save*" access="hasAnyRole('ROLE_修改角色')" />
<s:intercept-url pattern="/account/role!delete*" access="hasAnyRole('ROLE_修改角色')" />
<s:intercept-url pattern="/account/role*" access="hasAnyRole('ROLE_浏览角色')" />
<!-- < s:intercept-url pattern='/login.htm*' filters='none'/>这个标签是把验证排除在外。因为这是一个登录页面。
而s:form-login标签的login-page则指定遇到受限资源需要进行登录时候的页面.
default-target-url指定了从登录页面登录后进行跳转的页面
always-use-default-target这个属性表示登录成功后强制跳转到default-target-url这个地址。默认情况下如果是从首先页面过来登录的,那么跳转是跳转回受限页面。 -->
<s:form-login login-page="/login.action" default-target-url="/account/role.action" authentication-failure-url="/login.action?error=true" always-use-default-target ="ture"/>
<s:logout logout-success-url="/" />
</s:http>
要实现数据库与spring security的结合,我们必需实现UserDetailsService接口中的loadUserByUsername(String username)方法,此方法返回一个org.springframework.security.core.userdetails.User对象.因此,怎么样设计数据库都可以,不管我们是用一个表还是两个表或者说是三个表都可以,也不管我们是用户-授权,还是用户-角色-授权,或者是用户-用户组-角色-授权,这些spring security都不关心,它只关心返回的那个User对角.至于怎么样去查询数据库那就是我们的事了.
Springside 3.3.1 mini-web 中的UserDetailsServiceImpl类:
/**
* 实现SpringSecurity的UserDetailsService接口,实现获取用户Detail信息的回调函数.
*
* @author calvin
*/
@Transactional(readOnly = true)
public class UserDetailsServiceImpl implements UserDetailsService {
private AccountManager accountManager;
/**
* 获取用户Details信息的回调函数.
*/
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException, DataAccessException {
User user = accountManager.findUserByLoginName(username);
if (user == null) {
throw new UsernameNotFoundException("用户" + username + " 不存在");
}
Set<GrantedAuthority> grantedAuths = obtainGrantedAuthorities(user);
// System.out.println(grantedAuths);
//-- mini-web示例中无以下属性, 暂时全部设为true. --//
boolean enabled = true;
boolean accountNonExpired = true;
boolean credentialsNonExpired = true;
boolean accountNonLocked = true;
UserDetails userdetails = new org.springframework.security.core.userdetails.User(user.getLoginName(), user
.getPassword(), enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, grantedAuths);
return userdetails;
}
/**
* 获得用户所有角色的权限集合.
*/
private Set<GrantedAuthority> obtainGrantedAuthorities(User user) {
Set<GrantedAuthority> authSet = Sets.newHashSet();
for (Role role : user.getRoleList()) {
for (Authority authority : role.getAuthorityList()) {
authSet.add(new GrantedAuthorityImpl(authority.getPrefixedName()));
}
}
return authSet;
}
@Autowired
public void setAccountManager(AccountManager accountManager) {
this.accountManager = accountManager;
}
}
最后在applicationContext-security.xml配置保用userDetailsService类提供的用户信息认证
<!-- 认证配置, 使用userDetailsService提供的用户信息 -->
<s:authentication-manager alias="authenticationManager">
<s:authentication-provider user-service-ref="userDetailsService">
<s:password-encoder hash="plaintext" />
</s:authentication-provider>
</s:authentication-manager>
<!-- 项目实现的用户查询服务 -->
<bean id="userDetailsService" class="org.springside.examples.miniweb.service.account.UserDetailsServiceImpl" />
</beans>
以上实现了对url的仅限访问.
如果对部方url中的具体操作作认证,则可以在页面使用标签:
<security:authorize ifAnyGranted="ROLE_浏览角色">
<security:authorize ifNotGranted="ROLE_修改角色">
<a href="role!input.action?id=${id}">查看</a>
</security:authorize>
</security:authorize>
在web.xml中配置spring security 的上下文
<!-- SpringSecurity filter-->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<!-- Filter 映射 -->
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
程序跳转流程:
用户输入用户名和密码,程序通过web.xml中配置的springsecurity上下文到applicationContext-security.xml中找到认证处理类 userdetailsService类,
在 loadUserByUsername(String username)方法,程序去查找到用户,再通过用户找到它所属的角色,再通过角色找到它所拥有的权限.再将这些信息封装成org.springframework.security.core.userdetails.User对象返回.如果在查找当中用户不存在, 程序会通过applicationContext-security.xml配置文件中的 <s:http>标签中的<s:form-login >中的authentication-failure-url 属性值返回给用户,如果验证通过则返回default-target-url属性值给用户.用户在使用程序时,程序会通过applicationContext-security.xml文件中将<s:http> 标签中的<s:intercept-url> 中url所需要的权限与用户的权限作对比,如果用户拥有此权限,则会直接进行跳转,如果没有权限,则返回<s:http>标签中的<s:form-login >中的authentication-failure-url 属性值.
以上是对springside3.3.1 中的security 进行总结,如果有什么不对的地方,希望大家批评,指正.最后还要感谢javaeye中 海边沫沫 与 mislay,是你们的博文能让我在最短的时间里能有上面的理解.
分享到:
相关推荐
《SpringSide 3.3.1中的Spring Security总结》 SpringSide是一个基于Spring框架的Java企业级应用开发平台,而Spring Security则是Spring生态中的安全组件,用于提供全面的身份验证、授权和访问控制功能。在...
总的来说,Spring Security在SpringSide 3.3.1中作为权限控制的核心组件,通过与数据库的紧密集成,提供了强大的安全防护,确保了应用的安全性和用户访问的合法性。理解并正确配置Spring Security的各项特性,对于...
SpringSide和Spring Security是两个在Java开发领域中非常重要的开源项目,它们分别专注于构建Web应用程序的基础设施和安全防护。在本文中,我们将深入探讨这两个工具的核心概念、应用场景以及如何进行学习。 ...
- SpringSide项目是基于Spring、Struts2和Hibernate的Java开发框架。在DEMO中,SpringSecurity与SSH的集成展示了如何在MVC架构下实现安全控制,例如在Struts2 Action上添加安全注解,限制只有特定角色的用户才能...
SpringSide安全框架是一个基于Spring Boot和Spring Security的实践示例,旨在帮助开发者更好地理解和应用安全控制在实际项目中。这个demo实例提供了丰富的功能,涵盖了身份验证、授权、密码加密、会话管理等多个方面...
Springside是一款轻量级的Java开发框架,它集成了许多常用的组件,其中包括安全框架Spring Security。Spring Security是Spring生态体系中的一个重要组成部分,专门用于处理Web应用的安全问题,如身份验证、授权等。...
3. **示例代码**:SpringSide提供了丰富的示例代码,涵盖了Spring Framework的各种功能模块,如Spring MVC、Spring Data、Spring Security等,帮助开发者快速学习和掌握Spring的应用。 4. **文档**:SpringSide项目...
SpringSide 是一个基于 Spring Framework 的 Java 开发工具集,旨在简化 Spring 应用程序的开发过程,提供一套快速、现代且规范的开发实践。SpringSide 3.2.2 版本是一个成熟的版本,它在之前的版本基础上进行了优化...
总结,SpringSide全攻略是一个深度学习和实践Spring框架的绝佳资源,它将引导开发者熟练掌握Spring Boot、Spring MVC、Spring Security等关键技术,打造高效、健壮的企业级应用。通过研究并实践SpringSide提供的示例...
SpringSide3将深入探讨如何利用Spring Security保护应用程序的安全。 9. **实战案例**:SpringSide3不仅理论讲解,还提供了丰富的实战案例,从简单的Hello World到复杂的业务场景,帮助你将所学知识应用到实际项目...
7. **安全控制**:springside内置了Spring Security模块,用于实现权限控制、认证和授权,保障了系统的安全性。 8. **持续集成**:与Jenkins、Git等工具集成,springside支持持续集成和版本控制,方便团队协作。 9...
SpringSide Demo with Spring Security、Hibernate Paging、Hibernate Ehcache、permission、SSH Zero Config...
8. **安全控制**:Spring Security(前身Acegi Security)被集成到SpringSide 3.0中,提供了一套全面的安全管理方案,包括身份验证、授权、会话管理等。 9. **日志管理**:SpringSide 3.0 使用Log4j或Logback作为...
"SSJ" 可能指的是 SpringSide 示例项目,这是一个基于 Spring Boot 的现代化 Java 开发脚手架,它包含了 Spring MVC、Spring 和 Spring Data JPA 的示例代码。这个小 Demo 可能用于演示如何整合这三个框架,创建一个...
2. **安全框架集成**:集成了Spring Security,提供了用户认证、授权等功能,保障了应用的安全性。 3. **数据访问层**:支持多种ORM框架,如Hibernate和MyBatis,提供统一的DAO接口,降低了数据访问层的复杂性。 4...
在`springside.src`压缩包中,可能包含了示例代码或配置文件,用于演示如何实现Spring+LDAP的SSO功能。 总之,Spring与LDAP的结合为构建SSO系统提供了一个高效、灵活的解决方案。通过理解这些核心概念和技术,...
SpringSide 4的showcase还会展示如何整合其他Spring模块,比如Spring Security进行权限管理,Spring Data进行数据访问,Spring AOP实现切面编程,以及Spring Test进行单元测试和集成测试。所有这些都将帮助开发者...
SpringSide是基于Spring框架的一个开源项目,它为Java开发者提供了一套规范化的开发流程和最佳实践。"springside 架包"中的4.2.3.GA版本,代表着这是一个稳定且经过广泛测试的版本,为用户提供了安全可靠的开发环境...
Acegi Security是Spring社区早期的一个安全框架,它为Spring应用提供了全面的身份验证和授权服务。在本文中,我们将深入探讨Acegi Security的核心概念,并通过SpringSide项目中的`applicationContext-acegi-security...