在Spring中集成Acegi 2.x安全框架

最新推荐文章于 2020-08-10 09:04:03 发布
最新推荐文章于 2020-08-10 09:04:03 发布
阅读量878 收藏
点赞数
分类专栏: [19] 插件&框架 文章标签: access ACCESS acegi security spring Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shxcodewarrior/article/details/8494910
版权

  Acegi是基于Spring的一个开源的安全认证框架,现在的最新版本是Spring Security 2.0。新版本增加了许多新的特性:新特性包括简化的配置,并增加了新的功能,包括OpenID、NTLM、JSR 250注解、AspectJ切入点(pointcut)支持、域ACL增强、RESTful URI授权、组、分级角色、用户管理API、数据库支持的“remember me”,portlet认证、其他语言、Web Flow 2.0支持、Spring IDE可视化及自动完成、通过Spring Web Services 1.5提供的增强WSS支持等等。其中,最明显的就是配置文件的简化。

      1.x版本需要配置一个过滤器链以及各个过滤器对应的bean,各个过滤器一般有先后顺序,顺序颠倒了会出现一些意想不到的异常,无疑增加了配置的复杂性。在2.x版本中,框架将过滤器链和各个过滤器的先后顺序作了固化,以降低配置的复杂性、减少配置出错的机率。

      下面将详细介绍Spring Security 2.0的配置。

 

      一、在web.xml中的配置

          

Xml代码    收藏代码
  1. <filter>  
  2.      <filter-name>securityFilter</filter-name>  
  3.      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  4.      <init-param>  
  5.             <param-name>targetBeanName</param-name>  
  6.             <param-value>springSecurityFilterChain</param-value>  
  7.      </init-param>  
  8. </filter>  
  9.   
  10. <filter-mapping>  
  11.      <filter-name>securityFilter</filter-name>     
  12.      <url-pattern>/*</url-pattern>     
  13. </filter-mapping>  
  14. <!-- 当过滤器的名称不是springSecurityFilterChain时,需要配置targetBeanName参数,参数值为springSecurityFilterChain -->  

 

    二、在security.xml中的配置

        1、namespace的引用

Xml代码    收藏代码
  1. <b:beans xmlns="http://www.springframework.org/schema/security"  
  2.     xmlns:b="http://www.springframework.org/schema/beans"  
  3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  4.     xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd  
  5.                         http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">  

        2、http节点的配置

   

Xml代码    收藏代码
  1. <http auto-config="true" lowercase-comparisons="false" path-type="ant" access-denied-page="/accessDenied.jsp" access-decision-manager-ref="accessDecisionManager">  
  2.         <intercept-url pattern="/index.jsp*" access="ROLE_ANONYMOUS"/>  
  3.         <intercept-url pattern="/logout.jsp*" access="ROLE_ANONYMOUS"/>  
  4.         <intercept-url pattern="/accessDenied.jsp*" access="ROLE_ANONYMOUS"/>  
  5.   
  6.         <intercept-url pattern="/**/*.jsp*" access="ADMIN,SYS_MANAGER"/>          
  7.         <intercept-url pattern="/**/*.htm*" access="ADMIN,SYS_MANAGER"/>  
  8.         <intercept-url pattern="/**/*.html*" access="ADMIN,SYS_MANAGER"/>  
  9.         <intercept-url pattern="/**/*.action*" access="ADMIN,SYS_MANAGER"/>  
  10.         <intercept-url pattern="/**/*.ftl*" access="ADMIN,SYS_MANAGER"/>  
  11.   
  12.         <form-login login-page="/index.jsp" always-use-default-target="true" login-processing-url="/j_security_check" authentication-failure-url="/index.jsp?login_error=1" default-target-url="/main.action"/>  
  13.         <concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="false"/>  
  14.         <logout logout-url="/j_security_logout" logout-success-url="/index.jsp" invalidate-session="true"/>  
  15. </http>  

      说明:

           lowercase-comparisons:表示URL比较前先转为小写。
           path-type:表示使用Apache Ant的匹配模式。

          access-denied-page:访问拒绝时转向的页面。

          access-decision-manager-ref:指定了自定义的访问策略管理器。当系统角色名的前缀不是默认的ROLE_时,需要自定义访问策略管理器。

 

          login-page:指定登录页面。
          login-processing-url:指定了客户在登录页面中按下 Sign In 按钮时要访问的 URL。与登录页面form的action一致。其默认值为:/j_spring_security_check。
         authentication-failure-url:指定了身份验证失败时跳转到的页面。
         default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。
         always-use-default-target:指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。

 

         logout-url:指定了用于响应退出系统请求的URL。其默认值为:/j_spring_security_logout。
         logout-success-url:退出系统后转向的URL。
         invalidate-session:指定在退出系统时是否要销毁Session。

 

         max-sessions:允许用户帐号登录的次数。范例限制用户只能登录一次。

         exception-if-maximum-exceeded: 默认为false,此值表示:用户第二次登录时,前一次的登录信息都被清空。
          当exception-if-maximum-exceeded="true"时系统会拒绝第二次登录。

 

      3、自定义访问决策管理器的配置

Java代码    收藏代码
  1. <b:bean id="accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">  
  2.      <b:property name="allowIfAllAbstainDecisions" value="false"/><!-- 设定是否允许 “没人反对就通过” 的投票策略 -->  
  3.      <b:property name="decisionVoters"><!-- 投票者 -->  
  4.           <b:list>  
  5.                <b:bean class="org.springframework.security.vote.RoleVoter">  
  6.                     <b:property name="rolePrefix" value=""/><!-- 投票者支持的权限前缀,默认是“ROLE_” -->  
  7.                </b:bean>  
  8.            </b:list>  
  9.      </b:property>  
  10. </b:bean>  

    说明:

          Acegi提供三种投票通过策略的实现:
                1、AffirmativeBased(至少一个投票者同意方可通过)
                2、ConsensusBased(多数投票者同意方可通过)
                3、UnanimousBased(所有投票者同意方可通过)

 

    4、DAO身份验证提供者的配置

Java代码    收藏代码
  1. <authentication-provider user-service-ref="userDao"/>  

 

   三、登录页面

Html代码    收藏代码
  1. <form method="post" id="frmLogin" name="frmLogin" action="<s:url value="/j_security_check"/>">  
  2.      用户:<input type="text" name="j_username" id="j_username"/>  
  3.      密码:<input type="password" name="j_password" id="j_password"/>  
  4.       
  5.      <input type="submit" value="Sign In"/>  
  6. </form>  

    说明:

        1、form的action值必须与security.xml配置文件中form-login节点的login-processing-url属性值一致。

        2、用于输入用户名的input控件name必须为j_username。

        3、用于输入密码的input控件name必须为j_password。

shx516857593
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈Acegi配置
02-07 3048
 Acegi是基于Spring的一个开源的安全认证框架,现在的最新版本是1.04。Acegi的特点就是有很多的过滤器:不过我们也用不到这么多的过滤器,只是可以把它们看作为一个个的模块,在用的时候加上自己用的着的即可,由于认证的流程的方面比较复杂导致它的配置很复杂,如果能摸清它的工作原理还是不太难.下面用比较顺着人思维的流程过一遍 这里只列出常用的过滤器和拦载器 1. 过滤器:HttpSession
如何在Spring集成Acegi 2.x安全框架
10-10
Spring框架集成Acegi 2.x安全框架,可以实现高度可定制的权限管理和认证机制。Acegi(现已被Spring Security 2.0所取代)是Spring的一个扩展,提供了全面的安全解决方案,包括用户身份验证、访问控制、会话管理...
Acegi框架介绍
java屌丝
12-23 1239
【IT168 专稿】对于任何一个完整的应用系统,完善的 认证和授权机制是必不可少的。Acegi Security(以下简称Acegi)是一个能为基于Spring的企业应用提供强大而灵活安全访问控制解决方案的框架Acegi已经成为 Spring官方的一个子项目,所以也称为Spring Security。它通过在Spring容器配置一组Bean,充分利用Spring的IoC和AOP功能,提供声明式
Acegi详解
Clay's Coding Life
11-16 177
本文转自:http://www.yuanma.org/data/2007/0213/article_2302.htm AcegiSpring Framework 下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如: 1 : 完善的认证和授权机制, 2 : Http资源访问控制, 3 : Method 调用访问控制, 4 : Access Control List (ACL) ...
Acegi简介
拨云见日
10-30 6188
Acegi安全框架简介Acegi是为基于Spring的应用提供的声明式安全框架。它通过在Spring的应用上下文配置一系列的Bean完成安全设置,完成利用了Spring提供的依赖注入和IoC编程方式。为了保证Web应用的安全需求,Acegi使用过滤器拦截servlet请求,并执行认证来执行安全措施。Acegi通过安全方法级调用来执行更低层次的安全需求。通过使用Spring的AOP
Spring集成Acegi安全框架在J2EE的应用
01-31
然而对于一个完整的应用系统,完善的认证和授权机制是必不可少的,Acegi是一个基于Spring安全框架,探讨了Spring框架集成Acegi的方法,即在Spring的IOC配置文件定义所有的安全逻辑,改变了传统的通过编写代码的...
acegi-sample.rar_acegi-1.0.7_acegi-sample.part2_spring-1.2.4.jar
最新发布
09-23
在本文,我们将深入探讨Acegi Security的核心概念、功能以及它如何与Spring框架集成,以便实现强大的权限管理和用户认证机制。 Acegi Security 1.0.7是该框架的一个版本,它提供了一整套安全解决方案,包括身份...
使用Acegi作为基于Spring框架的WEB应用的安全框架
03-05
1. **配置文件**:展示了如何在Spring配置集成Acegi Security。 2. **控制器**:演示了如何在控制器方法上添加安全注解,限制访问权限。 3. **视图**:显示不同角色用户能看到的不同页面。 4. **用户和角色**:...
Spring+Acegi+ehcache安全框架常用jar包.rar
07-25
在"Spring+Acegi+ehcache安全框架所用jar包"这个压缩包,你可能会找到以下关键的库文件: 1. spring-context.jar:Spring的核心库,包含Bean管理和AOP支持。 2. spring-aop.jar:Spring的面向切面编程模块,用于...
acegi-security-1.0.4-src.zip源码,jar(全套)
01-08
Acegi Security为基于J2EE的企业应用软件提供全面的安全解决方案。正如你在本手册看到的那样,我们尝试为您提供有用的,高可配置的安全系统。 Acegi Security专注于在企业应用安全层为您提供帮助,你将会发现和各式各样的需求和商业问题领域一样多。银行系统的需求和电子商务应用的需求不同。电子商务应用和售卖军用自动工具的公司的需求不同。这些客户化的需求使得应用安全显得有趣,富有挑战性而且物有所值。 Acegi Security为基于J2EE的企业软件应用提供全面的安全服务。特别是使用领先的J2EE解决方案-Srping框架开发的项目。如果您不是使用Spring开发企业应用,我们温馨提醒您仔细研究一下。熟悉Spring,尤其是依赖注射原理,会极大的帮助你快速掌握Acegi Security
acegi
04-26
acegiacegiacegi
Acegi (Spring Security)入门
热门推荐
wengyupeng 蜗牛一步一步向前。。。
08-27 2万+
Acegi (Spring Security)入门
Acegi
君子之交淡如水
03-03 152
Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi安全系统能够轻松地适用于复杂的安全需求。  Acegi成为Spring子项目后改名为Spring Security。查看安全权限管理手册[1]。  安全涉及到两...
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理器
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
acegi security实践教程—form认证之debug调试
webdev
03-03 132
运行基于form表单的acegitest2demo,你是否发现有什么不妥? 测试不妥处如下: 1.在IE运行http://localhost:8080/acegitest2/userinfo.jsp 2.肯定会转到login页面,然后登陆进去test/1,进入accessdefined无权限页面。使用lisi/1,进入当前用户信息。 但是: 假如你用test/1登陆进去...
菜鸟-手把手教你把Acegi应用到实际项目(2)
二进制之路
10-16 193
       上一篇是基于BasicProcessingFilter的基本认证,这篇我们改用AuthenticationProcessingFilter基于表单的认证方式。        1、authenticationProcessingFilter  处理认证请求(通常是一个登录页面的表单请求)。当身份验证成功时,AuthenticationProcessingFilter会在会话放置一个...
acegi-security 学习笔记
soleghost的专栏
09-05 4766
acegi security 是基于spring framework 开源安全解决方案。按自己的理解,其功能主要是提供了一个WEB应用安全解决方案框架。并提供了一些缺省的实现。所以,如果我们的应用需要引入这套解决方案的话,可以根据自己的应用需求进行相应的扩充。另外,由于acegi security 是基于spring framework 的,所以可以和现有的基于spring framework
Acegi访问决策管理器的三种实现详解
yangmage的博客
08-09 63
关于Acegi在对Authentication(用户的权限组)与Resource的ConfigAttributeDefinition(资源权限组)的匹配问题一点解释. 问题提出: 最近在看Acegi配置时出现了一点问题: 在DB配置了用户A有Role_User,Role_Admin两个权限,配置 一个URL可以使Role_Admin和Role_SuperAdmin访问. 按理来讲,A也有访问权限...
Acegi安全框架深度教程:Spring安全保护
Acegi(现为Spring Security的一部分)提供了一个强大而灵活的框架,帮助开发人员在Spring应用轻松地实现复杂的安全需求。它不仅提供了Web层面的保护,还深入到方法级别的访问控制,确保了应用系统的整体安全性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值