SpringSecurity3配置及原理简介

标签: springsecurity3 原理 简介 | 发表时间:2013-11-19 10:41 | 作者:ganen11
出处:http://www.iteye.com

SpringSecurity3的核心类有三种 
1.URL过滤器或方法拦截器:用来拦截URL或者方法资源对其进行验证,其抽象基类为AbstractSecurityInterceptor
2.资源权限获取器:用来取得访问某个URL或者方法所需要的权限,接口为SecurityMetadataSource 
3.访问决策器:用来决定用户是否拥有访问权限的关键类,其接口为AccessDecisionManager。 

调用顺序为:AbstractSecurityInterceptor调用SecurityMetadataSource取得资源的所有可访问权限,然后再调用AccessDecisionManager来实现决策,确定用户是否有权限访问该资源。 

SecurityMetadataSource包括MethodSecurityMetadataSource和FilterInvocationSecurityMetadataSource,分别对应方法和URL资源。 

你也可以完全自定义自己的过滤器、资源权限获取器、访问决策器,下面给出完整的springsecurity3的配置文件:

Java代码   收藏代码
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2.   
  3. <beans:beans xmlns="http://www.springframework.org/schema/security"  
  4.   xmlns:beans="http://www.springframework.org/schema/beans"  
  5.   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  6.   xsi:schemaLocation="http://www.springframework.org/schema/beans  
  7.            http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
  8.            http://www.springframework.org/schema/security  
  9.            http://www.springframework.org/schema/security/spring-security-3.0.xsd">  
  10.       
  11.     <beans:bean id="loggerListener" class="org.springframework.security.authentication.event.LoggerListener" />  
  12.       
  13.     <http auto-config="true" access-denied-page="/403.jsp">  
  14.         <intercept-url pattern="/css/**" filters="none" />  
  15.         <intercept-url pattern="/images/**" filters="none" />  
  16.         <intercept-url pattern="/js/**" filters="none" />  
  17.         <intercept-url pattern="/403.jsp" filters="none" />  
  18.         <intercept-url pattern="/" filters="none" />  
  19.         <intercept-url pattern="/login.jsp" filters="none" />  
  20.         <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true" default-target-url="/finance/index.do?listId=CONSUMPTION&page.rowCount=10" />  
  21.         <logout logout-success-url="/login.jsp"/>  
  22.           
  23.         <!-- 防止同一用户多次登录,使第二次登录失败  -->  
  24.         <session-management>  
  25.             <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />  
  26.         </session-management>  
  27.           
  28.          <!-- 增加一个filter,这点与Acegi是不一样的,不能修改默认的filter了,这个filter位于FILTER_SECURITY_INTERCEPTOR之前 -->  
  29.         <custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="urlSecurityFilter" />  
  30.     </http>  
  31.   
  32.     <!-- 一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,  
  33.         我们的所有控制将在这三个类中实现,解释详见具体配置 -->  
  34.     <beans:bean id="urlSecurityFilter" class="com.maxjay.main.system.web.filter.UrlSecurityInterceptorFilter">  
  35.         <beans:property name="authenticationManager" ref="authenticationManager" />  
  36.         <beans:property name="accessDecisionManager" ref="securityAccessDecisionManager" />  
  37.         <beans:property name="securityMetadataSource" ref="urlSecurityMetadataSource" />  
  38.     </beans:bean>  
  39.   
  40.     <!-- 认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 -->  
  41.     <authentication-manager alias="authenticationManager">  
  42.         <authentication-provider user-service-ref="userService">  
  43.             <!--   如果用户的密码采用加密的话,可以加点“盐”  
  44.                 <password-encoder hash="md5" />  
  45.             -->  
  46.         </authentication-provider>  
  47.     </authentication-manager>  
  48.   
  49. </beans:beans>  


其中userService实现了UserDetailsService用来与自己的用户表进行适配,UrlSecurityInterceptorFilter继承了AbstractSecurityInterceptor并实现了Filter接口,urlSecurityMetadataSource实现了FilterInvocationSecurityMetadataSource接口,securityAccessDecisionManager实现了AccessDecisionManager接口,它们都通过spring的注解声明为容器的一个对象,所以在配置文件中才能直接引用。 

springsecurity3有提供了几个已经实现好的访问决策器,其抽象类为AbstractAccessDecisionManager,它使用投票机制(AccessDecisionVoter)来确定用户有没有权限访问某资源,其实现类有三个: 
AffirmativeBased:只要有一个投票器通过即审核通过 
ConsensusBased:只有当赞成票>反对票时 审核才会通过 
UnanimousBased:只要有一个投票器反对,审核就不通过 
你可以直接使用该抽象类的实现类,其配置如下: 

Java代码   收藏代码
  1. <beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">  
  2.         <!-- false意味着当配置的投票器只投了弃权票时,不允许继续执行 -->  
  3.         <beans:property name="allowIfAllAbstainDecisions" value="false"/>  
  4.         <!-- 配置该决策器所需要的投票器 -->  
  5.         <beans:property name="decisionVoters">  
  6.             <beans:list>  
  7.                 <beans:bean class="org.springframework.security.access.vote.RoleVoter"/>  
  8.                 <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>  
  9.             </beans:list>  
  10.         </beans:property>  
  11.     </beans:bean>  


已有 0 人发表留言,猛击->> 这里<<-参与讨论


ITeye推荐



相关 [springsecurity3 原理 简介] 推荐:

SpringSecurity3配置及原理简介

- - Web前端 - ITeye博客
SpringSecurity3的核心类有三种 . 1.URL过滤器或方法拦截器:用来拦截URL或者方法资源对其进行验证,其抽象基类为AbstractSecurityInterceptor. 2.资源权限获取器:用来取得访问某个URL或者方法所需要的权限,接口为SecurityMetadataSource .

istio 原理简介

- - 掘金 架构
由于 istio 自 1.5 版本以后架构上有了较大变化,控制面从多组件变成了单体的 istiod 组件,所以下文会先介绍 1.5 之前的架构,再介绍 1.5 之后的,是一个由繁到简的过程. istio 1.5 之前架构. Istio 的架构分为控制平面和数据平面. 数据平面:由一组智能代理(Envoy)以 sidecar 模式部署,协调和控制所有服务之间的网络通信.

浏览器的渲染原理简介

- - IT技术博客大学习
   看到这个标题大家一定会想到这篇神文《 How Browsers Work》,这篇文章把浏览器的很多细节讲得很细,而且也被 翻译成了中文. 1)这篇文章太长了,阅读成本太大,不能一口气读完. 2)花了大力气读了这篇文章后可以了解很多,但似乎对工作没什么帮助.    所以,我准备写下这篇文章来解决上述两个问题.

<转>推荐系统原理介绍-用户画像简介 - CSDN博客

- -
最近在做推荐系统,在项目组内做了一个分享. 今天有些时间,就将逻辑梳理一遍,将ppt内容用文字沉淀下来,便于接下来对推荐系统的进一步研究. 推荐系统确实是极度复杂,要走的路还很长. 为什么需要推荐系统——信息过载. 随着互联网行业的井喷式发展,获取信息的方式越来越多,人们从主动获取信息逐渐变成了被动接受信息,信息量也在以几何倍数式爆发增长.

Flask-Babel 简介

- yinseny - python.cn(jobs, news)
本文有一个格式好看一点,并且有语法高亮的版本放在 readthedocs,欢迎浏览. 本文是原创,不是翻译,不过本文其实是谈翻译的. 话说用 wordpress 的 WYSIWYG 编辑器写这样的文章真痛苦啊,格式一不小心就乱了,本文是用 rst 写成,编译为 html,然后贴到这边来的. 最近用 Flask 给公司做了个小 web 应用,做的时候用英文了,现在要求翻译成中文.

AsciiDoc简介

- dayu - 桃源
AsciiDoc 是一种简单的基于纯文本的文档生成工具, 与它类似的还有 reStructuredText, Markdown. 说是生成文档, 其实它可以将纯文本文件转换成各种类型, 比如:. Man Page (示例). Graphviz 图形 (示例). 使用AsciiDoc进行文档编写最著名的恐怕是Git官方的 Git User’s Manual (我表示对于初学者很难看懂), 这篇博客也是通过AsciiDoc生成, 文后会附上本文的原始代码以便参考..

ABAP简介

- - 博客园_首页
中文名称:高级企业应用编程语言. 英文全称:Advanced Business Application Programming. 德语全称:Allgemeiner Berichtsaufbereitungsprozessor(通用报表预处理器). 概述:一种高级编程语言,起源于20世纪80年代,由德国软件公司SAP开发,主要用作SAP的编程,现行版本为ABAP/4,同时支持面向过程和面向对象.

json简介

- - ITeye博客
    JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式,易于阅读和编写,同时也易于机器解析和生成. 它基于ECMA262语言规范(1999-12第三版)中JavaScript编程语言的一个子集. JSON采用与编程语言无关的文本格式,但是也使用了类C语言(包括C, C++, C#, Java, JavaScript, Perl, Python等)的习惯,这些特性使JSON成为理想的数据交换格式.

[转]amanda 简介

- - 小鸥的博客
    安装mysql数据库是会发现三个用户 mysql 、postmyql 、amanda,其中amanda是什么呢.   Amanda 是最早出现的开源备份 软件. 它的名字来自Maryland大学. Amanda的意思是高级Maryland 硬盘归档器..   Amanda通过 操作系统上 一些自带的备份工具,例如tar(Unix/linux)、zip(Windows)来实现备份的计划,自动化和跟踪等功能.

[转]HBase简介

- - 小鸥的博客
   Hbase是一个分布式开源数据库,基于Hadoop分布式文件系统,模仿并提供了基于Google文件系统的Bigtable数据库的所有功能. 其目标是处理非常庞大的表,可以用普通的计算机处理超过10亿行数据,并且有数百万列元素组成的数据表. Hbase可以直接使用本地文件系统或者Hadoop作为数据存储方式,不过为了提高数据可靠性和系统的健壮性,发挥Hbase处理大数据量等功能,需要使用Hadoop作为文件系统.