安科网

SpringSecurity简介与使用

jiuweideqixu

jiuweideqixu

2013-05-05

关注 关注
     Spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(依赖注入,也称控制反转)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
     Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。 Spring Security提供有若干个过滤器,它们能够拦截Servlet请求,并将这些请求转给认证和访问决策管理器处理,从而增强安全性
   接下来构建一个SpringSecurity示例:
   1、到官网上下载SpringSecurity需要的jar文件,实例中还使用到了其他第三方jar,这里就不一一链接了,所有jar都已放在demo中。
   2、新建web工程开始相关的配置工作:
    2.1、web.xml的配置:
   
<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>
       classpath:applicationContext.xml,
       classpath:application-security.xml
   </param-value>
</context-param>

<listener>
	<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<filter>
	<filter-name>springSecurityFilterChain</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
	<filter-name>springSecurityFilterChain</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>
     2.2、application-security.xml的配置:   
<!-- 指定login.jsp不提供安全拦截 -->
<http pattern="/login.jsp" security="none"></http>

<!-- access-denied-page:访问拒绝后跳转的页面 -->
<http access-denied-page="/accessDenied.jsp" auto-config="true">
<!-- 
<http use-expressions="true" auto-config="true" access-denied-page="/403.html"> -->
	<!--
	    form-login标签: 
		login-page:指定登录页面,不指定默认使用spring自带的登录页面
		always-use-default-target:是否使用登录成功后跳入指定网页,true使用
		default-target-url:登录成功后默认进入的目标网页,必须以"/"或"http://"开头,例如:“http://www.baidu.com”
	 	<form-login login-page="/login.jsp" />
	 -->
	<form-login always-use-default-target="false" default-target-url="http://www.baidu.com"/>
	
	<!--   
		logout标签:
		logout-url:指定注销的url连接,默认为/j_spring_security_logout
		logout-success-url:指定注销成功后跳转的连接,默认为/
		delete-cookies:删除指定的cookid集合,以逗号分割
		invalidate-session:指定注销后是否是session失效,默认是true
	 -->
	<logout logout-url="/myLinyLogout" logout-success-url="/loggedout.jsp" delete-cookies="JSESSIONID" invalidate-session="true"/>
	
	<remember-me />
	
	<!-- 拦截指定URL,并指定所需要的权限
	<intercept-url pattern="/admin.jsp" access="ROLE_ADMIN"/>
	<intercept-url pattern="/**" access="ROLE_USER"/>
	  -->
	<session-management invalid-session-url="/invalidSession.jsp">
		<!-- 同时只能支持2个人在线(两个人使用同一个账户登录),第三着登录系统强行是第一个登录用户失效
		<concurrency-control max-sessions="2" error-if-maximum-exceeded="false"/>
		-->
		<!-- 
			error-if-maximum-exceeded:当登录的用户数大于max-sessions指定的数量之后,系统默认的处理行为是使前者失效(先进先失效).
			默认值为false。
			设置为true,则后登录的用户无法登录到系统.
		 -->
		<concurrency-control max-sessions="1" error-if-maximum-exceeded="true"/>
	</session-management>
	
	<!-- 自定义安全拦截器 -->
	<custom-filter ref="mySecurityFilter" before="FILTER_SECURITY_INTERCEPTOR"/>
</http>

<!-- 配置过滤器 -->
<beans:bean id="mySecurityFilter" class="com.liny.sys.security.util.MySecurityFilter">
	<!-- 用户认证 -->
	<beans:property name="authenticationManager" ref="myAuthenticationManager" />
	<!-- 用户校验(用户是否拥有所请求资源的权限) -->
	<beans:property name="accessDecisionManager" ref="myAccessDecisionManager" />
	<!-- 获取请求资源所需要的权限 -->
	<beans:property name="securityMetadataSource" ref="mySecurityMetadataSource" />
</beans:bean>

<!-- 实现了UserDetailsService的Bean -->
<!-- 
	加载用户权限的管理器:
	1、可以以配置方式定义,user-service
	2、 可以以sql语句定义,jdbc-user-service
	3、ldap-user-service
-->
<authentication-manager alias="myAuthenticationManager">
	<authentication-provider user-service-ref="myUserDetailServiceImpl" />
</authentication-manager>

<!-- 
<beans:bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close" scope="singleton">
	<beans:property name="driverClassName" value="oracle.jdbc.driver.OracleDriver" />
	<beans:property name="url" value="jdbc:oracle:thin:@10.10.39.217:1521:orcl" />
	<beans:property name="username" value="liny" />
	<beans:property name="password" value="liny" />
</beans:bean> 
 -->
 
<beans:bean id="myAccessDecisionManager" class="com.liny.sys.security.util.MyAccessDecisionManager" />

<beans:bean id="mySecurityMetadataSource" class="com.liny.sys.security.util.MySecurityMetadataSource"/>

<beans:bean id="myUserDetailServiceImpl" class="com.liny.sys.security.util.MyUserDetailServiceImpl" />
    3、自定义安全拦截器、用户认证、用户授权实现:
    3.1、自定义安全拦截器(mySecurityFilter):   
public class MySecurityFilter extends AbstractSecurityInterceptor implements Filter{

	/**
		与applicationContext-security.xml里的myFilter的属性securityMetadataSource对应,  
	    其他的两个组件,已经在AbstractSecurityInterceptor定义
    **/
	
    private FilterInvocationSecurityMetadataSource securityMetadataSource;  

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		FilterInvocation filterInvocation = new FilterInvocation(request, response, chain);
		invoke(filterInvocation);
	}
	
	private void invoke(FilterInvocation fi) throws IOException, ServletException {  
        //1.获取请求资源的权限  
        //执行Collection<ConfigAttribute> attributes = SecurityMetadataSource.getAttributes(object);  
        //2.是否拥有权限    
        //this.accessDecisionManager.decide(authenticated, object, attributes);  
        InterceptorStatusToken token = super.beforeInvocation(fi);  //获取请求资源的权限 
        try {  
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());  
        } finally {  
            super.afterInvocation(token, null);  
        }  
    }  
    
	@Override
	public Class<?> getSecureObjectClass() {
		return FilterInvocation.class;
	}

	@Override
	public SecurityMetadataSource obtainSecurityMetadataSource() {
		return this.securityMetadataSource;
	}

	@Override
	public void destroy() {
	}
	
	@Override
	public void init(FilterConfig arg0) throws ServletException {
	}

	public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
		return securityMetadataSource;
	}

	public void setSecurityMetadataSource(
			FilterInvocationSecurityMetadataSource securityMetadataSource) {
		this.securityMetadataSource = securityMetadataSource;
	}
}
    3.2、获取请求资源需要的权限:  
public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource{
	
	private static final Logger LOGGER = LoggerFactory.getLogger(MySecurityMetadataSource.class);
	
    private static Map<String, Collection<ConfigAttribute>> resourceMap = null;  
    
    @Resource
    private SecurityDAO securityDAO;
    	
    @Resource
    private MyAccessDecisionManager accessDecisionManager;
    
	public MySecurityMetadataSource() {
        loadResourceDefine(); 
	}

	@Override
	public Collection<ConfigAttribute> getAttributes(Object obj)throws IllegalArgumentException {
		String requestUrl = ((FilterInvocation) obj).getRequestUrl();
		LOGGER.debug(requestUrl);
        if(resourceMap == null) {  
            loadResourceDefine();   
        }
        return resourceMap.get(requestUrl);  
	}

	 //加载所有资源与权限的关系,一个资源需要哪些权限
    private void loadResourceDefine() {  
        if(resourceMap == null && this.securityDAO != null) {  
            resourceMap = new HashMap<String, Collection<ConfigAttribute>>();  
            List<ResourceVO> resources = this.securityDAO.getAllResource();
            for (ResourceVO resource : resources) {  
            	//以权限名封装为Spring的security Object  
                Collection<ConfigAttribute> configAttributes = new ArrayList<ConfigAttribute>();  
                ConfigAttribute configAttribute = new SecurityConfig(resource.getRoleName());
                configAttributes.add(configAttribute);  
                resourceMap.put(resource.getResourceURL(), configAttributes);  
            }  
        }  
    }  

	@Override
	public Collection<ConfigAttribute> getAllConfigAttributes() {
		return null;
	}

	@Override
	public boolean supports(Class<?> class1) {
		return true;
	}
	
}
    3.3、请求资源的权限校验:  
public class MyAccessDecisionManager implements AccessDecisionManager {
	
	private static final Logger LOGGER = LoggerFactory.getLogger(MyAccessDecisionManager.class);

	@Override
	public void decide(Authentication authentication, Object obj,Collection<ConfigAttribute> configAttributes)
			throws AccessDeniedException, InsufficientAuthenticationException {
		if (configAttributes == null) {
			return;
		}
		// 所请求的资源拥有的权限
		Iterator<ConfigAttribute> iterator = configAttributes.iterator();
		while (iterator.hasNext()) {
			ConfigAttribute configAttribute = iterator.next();
			// 访问所请求资源所需要的权限
			String needPermission = configAttribute.getAttribute();
			LOGGER.debug(needPermission);
			// 用户所拥有的权限authentication
			for (GrantedAuthority ga : authentication.getAuthorities()) {
				if (needPermission.equals(ga.getAuthority())) {
					return;
				}
			}
		}
		// 没有权限
		throw new AccessDeniedException("没有权限访问! ");
	}

	@Override
	public boolean supports(ConfigAttribute configattribute) {
		return true;
	}

	@Override
	public boolean supports(Class<?> class1) {
		return true;
	}
}
    3.4、用户身份认证:   
public class MyUserDetailServiceImpl implements UserDetailsService {

	@Resource
	private SecurityDAO securityDAO;

	public MyUserDetailServiceImpl() {
		super();
	}

	@Override
	public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException {
		UserVO userVO = new UserVO();
		userVO.setAccount(username);
		userVO = securityDAO.getUserByAccount(userVO);
		if (userVO == null) {
			throw new UsernameNotFoundException(username);
		}
		List<RoleVO> roles = securityDAO.getRoleByUser(userVO);
		Set<GrantedAuthority> authSet = new HashSet<GrantedAuthority>();
		if (roles != null && roles.size() > 0) {
			for (RoleVO roleVO : roles) {
				authSet.add(new SimpleGrantedAuthority(roleVO.getRoleName()));
			}
		}
		UserVO objUserVO = new UserVO(userVO.getAccount(),
				userVO.getPassword(), userVO.isAccountNonExpired(),
				userVO.isCredentialsNonExpired(), userVO.isAccountNonLocked(),
				userVO.isEnabled(), roles, authSet);
		return objUserVO;
	}
}
    大致的请求流程如下:
    1、用户请求过滤器
    2、获取请求资源需要的权限
    3、进行请求资源的权限校验,如果未进行身份认证,则执行步骤4、否则执行步骤5
    4、进行用户身份认证,认证成功执行步骤1
    5、校验成功显示请求的资源,失败则拒绝访问请求的资源

spring框架

jiuweideqixu

jiuweideqixu

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

关于使用IDEA的springboot框架往Redis里写入数据乱码问题

解决方法:在你RedisUtil类里加入下图红框的的代码,

vapaad 2020-10-22

一个90后女孩的第一个 Spring Boot 应用

本文转载自微信公众号「小明菜市场 」,作者小明菜市场。Spring Boot的出现,主要是用来解决 Spring 过去的一些问题,提出了约定优于配置的思想,默认对很多方法进行了设置,使得开发者可以快速的构建项目,集成第三方的内容。使得开发效率大大提升。S

与卿画眉共浮生 2020-11-13

Spring Batch真是个优秀的批处理框架,用完爱不释手!

Spring Batch是一个轻量级的、完善的批处理框架,作为Spring体系中的一员,它拥有灵活、方便、生产可用的特点。在应对高效处理大量信息、定时处理大量数据等场景十分简便。结合调度框架能更大地发挥Spring Batch的作用。Batch Core核

smalllove 2020-11-03

详解 | Spring Boot 核心的 3 个注解详解

本文转载自微信公众号「小明菜市场」,作者小明菜市场 。Spring Boot 最大的特点是无需 XML 配置文件,能够实现自动装配,并进行全自动化的jar包配置。Spring Boot 是微服务的核心,其Spring Cloud 是基于Spring Bo

hellowordmonkey 2020-11-02

SpringBoot Web 应用源码解析:综合实战和整体总结

关于 Web 方面的配置比较多,值得庆幸的是,Spring Boot 已经帮我们预置初始化了很多基础组件。但在实践的过程中,某些基础的组件并不能满足我们的实际需求,这时就需要我们重新初始化相应组件,甚至在某些极端的情况下需要完全接管 Spring Boot

丽丽 2020-10-30

Spring和SpringBoot最核心的3大区别,详解!

对于 Spring和 SpringBoot到底有什么区别,我听到了很多答案,刚开始迈入学习 SpringBoot的我当时也是一头雾水,随着经验的积累、我慢慢理解了这两个框架到底有什么区别,相信对于用了 SpringBoot很久的同学来说,还不是很理解 Sp

周太郎 2020-10-28

Java开发人员必知的常用类库,这些你都知道吗?

作为一名程序员,我们要避免重复发明轮子,尽可能使用一些成熟、优秀、稳定的的第三方库,站在巨人的肩膀上搭建可靠、稳定的系统。Spring框架为现代基于Java的企业应用程序提供了一个全面的编程和配置模型,使用开发基于Java语言的应用更加简单、便捷。Spri

greensomnuss 2020-10-27

Spring框架里注解@Autowired的工作原理

Suppose I have a bean named HelloWorld which has a member attribute points to another bean User.With annotation @Autowired, as l

职业炮灰 2020-10-16

一个快速找到Spring框架是在哪里找到XML配置文件并解析Beans定义的小技巧

The line 399 where exception is raised will be automatically located. The core logic to load xml file is just near the exception

与卿画眉共浮生 2020-10-14

Java程序员不能错过的7个基本框架

现在IT开发人员面对的较大挑战就是复杂性,构建的应用越来越复杂。今天给大家列出Java程序员不能错过的7个基本框架,或许会对你有帮助哦。Hibernate是优秀的Java持久性框架,是一个开放源代码的对象关系映射框架,它对 JDBC 进行轻量级的对象封装,

feinifi 2020-10-14

Java开发人员应该学习的5个基本框架

Spring,Hibernate,Spring Boot,Spring Security和Spring Cloud是最重要的Java框架。Java开发人员,您好,如果您正在考虑应该学习哪种框架以成为完整的开发人员,那么您来对地方了。尽管有数十种Java框架

feinifi 2020-10-13

SpringBoot的设计理念和目标、整体架构你有深入了解吗

读者可根据日常习惯,选择熟悉的代码阅读 I 具,比如 Intellij IDEA、Spring Tool Suite、Eclipse、 MyEclipse 等。阅读 Spring Boot 源代码之前,我们还需搭建基础阅读环境。Spring Boot 对

yangjinpingc 2020-10-09

聊一下简易版的“Spring Boot”写的咋样了

昨天早上,6 点多一点就起来写代码了,前天晚上和朋友一起吃晚饭回来之后也搞到很晚,有时候想尽快把某些东西写完的时候确实是会这样。但是,说实话效率会降低很多,不推荐这样做。像我之前写guide-rpc-framework[1] 的时候,经常周末不出门,一坐

davis 2020-09-29

摊牌了!我要手写一个“Spring Boot”

本文转载自微信公众号「JavaGuide」,作者Guide哥。我们经常会对自己早期写的代码感觉恶心,这是导致很多项目烂尾的很重要的一个原因之一。自己沉淀的知识更多,对于某个知识点的理解更加深刻。所以,最近几个月我一直抽空对 JavaGuide 上早期的一些

RickyIT 2020-09-27

Spring Boot:企业常用的Starter以及实现

Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Boot致力于在蓬勃发展的快速应用开发领域成为

lisongchuang 2020-09-27

烂了大街的 Spring 循环依赖问题,你以为自己就真会了吗

初学 Spring 的时候,我们就知道 IOC,控制反转么,它将原本在程序中手动创建对象的控制权,交由 Spring 框架来管理,不需要我们手动去各种 new XXX。所谓的循环依赖是指,A 依赖 B,B 又依赖 A,它们之间形成了循环依赖。在 Spri

tangxiong0 2020-09-03

最火热的极速开发框架Spring Boot-蛙课网

Spring Boot请添加链接描述是Spring家族中的一个全新的框架,它用来简化Spring应用程序的创建和开发过程,也可以说Spring Boot能简化我们之前采用Spring mvc + Spring + MyBatis 框架进行开发的过程;在以往

meleto 2020-08-17

Spring Boot 2.x基础教程:使用集中式缓存Redis

之前我们介绍了两种进程内缓存的用法,包括Spring Boot默认使用的ConcurrentMap缓存以及缓存框架EhCache。虽然EhCache已经能够适用很多应用场景,但是由于EhCache是进程内的缓存框架,在集群模式下时,各应用服务器之间的缓存都

幸运小侯子 2020-08-14

Java最全面试题之Spring篇

大家好,我是Java最全面试题库的提裤姐,今天这篇是JavaEE面试题系列的第三篇,主要总结了Spring相关的问题,在后续,会沿着第一篇开篇的知识线路一直总结下去,做到日更!如果我能做到百日百更,希望你也可以跟着百日百刷,一百天养成一个好习惯。谈谈你对

YangHuiLiang 2020-08-06

Spring Cloud Gateway 网关尝鲜

Spring Cloud Gateway是Spring官方基于Spring 5.0,Spring Boot 2.0和Project Reactor等技术开发的网关,Spring Cloud Gateway旨在为微服务架构提供一种简单而有效的统一的API路由

zmysna 2020-08-03
jiuweideqixu

jiuweideqixu

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号