让Downpour的<Spring Security 2 配置精讲>简单化,大家一起学习

yudylaw

浏览: 4508 次
性别:
来自: 合肥

最近访客更多访客>>

woodding2008

InJavaWeTrust

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

2009-04 ( 1)
更多存档...

博客分类：

Spring Security

Security Spring 配置管理 Hibernate MySQL

申明：Spring Security 2 配置精讲 ,系Downpour原创

-------------------------Begin----------------------------

"Spring Security 2 配置精讲" 让我认识了Spring Security(以下都简称Security),一直在做毕业设计，最近需要做点安全控制方面的事，所以就来javaeye搜了一下，Downpour写的非常不错，详细明了。我也是在看完了140多页的中文文档后才略微了解，我仔细看了

"Spring Security 2 配置精讲" 的评论，很多初学者和我一样，遇到不少问题。这里主要是提供一个简化

"Spring Security 2 配置精讲" 罢了，同时融合一点Struts2。

期待Downpour能尽快放出他的大作把Security和Struts2能完全融合起来,特别是拦截器,还有验证。

原作者使用了Jetty,这个是做测试非常方便，我相信大多数初学者和我一样没有用过它，都是Tomcat吧，简化版中就没有它。

1.为了方便测试，我直接把一些目录放到了WebRoot下面，都是为了快速学习啊，我一直是这么干的。

2.我把数据库security.sql也打包进去了,可以直接导入Mysql,编码是utf8

我把所遇到过的迷惑拿出来给大家提个醒吧:

1.这里密码都是经过md5加密的，salt值默认是null,具体加密方法有好几种.见：org.springframework.security.providers.encoding包下

<authentication-provider user-service-ref="securityManager">
		<password-encoder hash="md5"/>
	</authentication-provider>

我也写了一个简单的测试类，一看就懂

com.javaeye.sample.support.JUnit.test

2.Struts2的FilterDispather一定要配置在Security的DelegatingFilterProxy后面，在web.xml中。(好像是：拦截器链中当退出FilterDispachter时数据会被压栈处理,Security就获得不到数据,因为数据被OGNL放入ValueStack中了 )

写道

<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>


<filter>
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>
</filter>
<filter-mapping>
<filter-name>struts2</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

3·鉴于有些初学者还需要jar包,我做点多余的事吧,我现在这个需要的jar包都有这些

antlr-2.7.6.jar
asm-attrs.jar
asm.jar
aspectjrt.jar
aspectjweaver.jar
c3p0-0.9.1.2.jar
cglib-2.1.3.jar
cglib-nodep-2.1_3.jar
classes12.jar
common-annotations.jar
commons-beanutils-1.7.0.jar
commons-chain-1.1.jar
commons-codec.jar
commons-collections-2.1.1.jar
commons-dbcp.jar
commons-digester-1.8.jar
commons-fileupload-1.1.1.jar
commons-io-1.1.jar
commons-lang.jar
commons-logging-1.0.4.jar
commons-pool.jar
commons-validator-1.3.1.jar
concurrent-1.3.2.jar
connector.jar
dom4j-1.6.1.jar
ehcache-1.2.3.jar
freemarker-2.3.8.jar
hibernate-annotations.jar
hibernate-commons-annotations.jar
hibernate-entitymanager.jar
hibernate3.jar
javaee.jar
javassist.jar
jstl-1.0.2.jar
log4j-1.2.11.jar
mysql-connector-java-5.0.0-beta-bin.jar
ognl-2.6.11.jar
servlet-api.jar
spring-security-core-2.0.4.jar
spring-security-core-tiger-2.0.4.jar
spring-security-taglibs-2.0.4.jar
spring.jar
standard.jar
struts2-core-2.0.14.jar
struts2-spring-plugin-2.0.14.jar
xwork-2.0.7.jar

3·我当时在写这个个时候是设置断点调试,观察Security到底是运行的，就设置了一个断点，当然你得加入Security的源代码(推荐大家这样做，我看完中文文档还是迷糊，但是Debug后就豁然开朗了)

我是设置在com.javaeye.sample.security.support.SecurityManagerSupport

4·Debug程序你会发现:(大家Debug直前一定得记得把源文件匹配上，否则你看不到Java代码的,全是Class)

loadUserByUsername 只是返回了UserDetails，其实后面许多事都是框架自身帮你完成了，比如:密码加码，校验等。

就拿密码校验来说吧: 你肯定想知道为啥你没做密码校验，它是如何完成的?

Debug后一直setp Over,如果你输入的密码错误，用户名正确，会进入：

org.springframework.security.providers.dao.AbstractUserDetailsAuthenticationProvider

它是个abstract Class,只有一个子类:

org.springframework.security.providers.dao.DaoAuthenticationProvider

具体验证用户密码的地方是：

try {
                user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
            } catch (UsernameNotFoundException notFound) {
                if (hideUserNotFoundExceptions) {
                    throw new BadCredentialsException(messages.getMessage(
                            "AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
                } else {
                    throw notFound;
                }
            }

密码错误的话就抛异常，然后由Security的一些异常处理拦截器来处理了，都是框架帮我们做好了。

如果大家仔细Debug 观察，其实分析拦截器执行顺序，会比较容易学习特别是像Security和Struts2这类使用了Aop的框架。

-------------------------End----------------------------

PS:我做的毕业设计(电子银行)中，以前没有用Security，但是鉴于项目业务涉及到的安全问题肯定是老师问的重点(被雷过)，所以不得不做得严谨一些，但是我感觉我之前的设计现在修改起来，工作量还是比较大，因为我直前对管理员做过权限管理，而普通用户没有做，只是用Filter和Interceptor做了一些简单的控制,但是当我读完Security后，我觉得我做得太可笑了。

SpringSecurity2.rar (47.4 KB)
下载次数: 351

8
顶

1
踩

分享到：

2009-04-06 18:01
浏览 4299
评论(5)
分类:企业架构
查看更多

5 楼 yudylaw 2012-04-06

call %DOMAIN_HOME%\bin\setClassPathEnv.cmd
set CLASSPATH=%CLASSPATH%;%XXX_PATH%

4 楼 yudylaw 2012-04-06

set XXX_LIBS=C:\Program\jars

@REM for yudylaw
set XXX_PATH=%XXX_PATH%;%XXX_LIBS%\ehcache-1.2.3.jar
set XXX_PATH=%XXX_PATH%;%XXX_LIBS%\hibernate3.jar

@REM for liuyu
set XXX_PATH=%XXX_PATH%;%XXX_LIBS%\antlr-2.7.6.jar

echo XXX_PATH=%XXX_PATH%

3 楼 yudylaw 2012-04-06

@ECHO OFF

@REM WARNING: This file is created by the Configuration Wizard.
@REM Any changes to this script may be lost when adding extensions to this configuration.

SETLOCAL

set DOMAIN_HOME=c:\bea\user_projects\domains\yu_domain

set lib="-Dweblogic.ext.dirs=C:\Program\lib"

call "%DOMAIN_HOME%\bin\startWebLogic.cmd" %lib%

ENDLOCAL

2 楼 yudylaw 2010-12-15

lovebin_bin 写道

怎么不把jar包放上去？

jar 包上面不是贴出来了嘛,再放进去太大了。其实就用到那几个包。

1 楼 lovebin_bin 2010-12-14

怎么不把jar包放上去？

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论