spring Namespace和核心组件简介

最新推荐文章于 2023-12-23 12:48:46 发布
最新推荐文章于 2023-12-23 12:48:46 发布
阅读量1.4k 收藏
点赞数 1
分类专栏: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shierqu/article/details/48803501
版权


spring security2.0起已经支持Namespace xml schema方式。其大体包含以下方面的内容。
    1.  Web/HTTP Security——最复杂部分。设置filter和其他应用于认证机制、保护URLS、导向登陆页面和错误页面等等的服务bean。
    2.  Business Object (Method) Security  - options for securing the service layer
     3) AuthenticationManager  - 处理来自框架其他部分的认证请求
     4) AccessDecisionManager  -为web和方法访问提供决策. 通常会注册一个默认decisionManager,但我们可以自定义一个。
    5) AuthenticationProvider s - 认证管理器,提供实现认证用户入口
    6) UserDetailsService  - 与认证管理器最相关的服务类

进行web/http 安全保护时首先要在web.xml中配置spring的拦截器 
   
   

    
    

     
      
    
    

    
    

     
     	<filter>
    
    

    
    

     
     		<filter-name>springSecurityFilterChain</filter-name>
    
    

    
    

     
     		<filter-class>
    
    

    
    

     
     			org.springframework.web.filter.DelegatingFilterProxy
    
    

    
    

     
     		</filter-class>
    
    

    
    

     
     	</filter>
    
    

    
    

     
     	<filter-mapping>
    
    

    
    

     
     		<filter-name>springSecurityFilterChain</filter-name>
    
    

    
    

     
     		<url-pattern>/*</url-pattern>
    
    

    
    

     
     	</filter-mapping>
和使用spring其他模块一样,需要加入ContextLoadListener 
   
   

    
    

     
     <context-param>
    
    

    
    

     
     		<param-name>contextConfigLocation</param-name>
    
    

    
    

     
     		<param-value>classpath:applicationContext*.xml</param-value>
    
    

    
    

     
     	</context-param>
    
    

    
    

     
      
    
    

    
    

     
     	<listener>
    
    

    
    

     
     		<listener-class>
    
    

    
    

     
     			org.springframework.web.context.ContextLoaderListener
    
    

    
    

     
     		</listener-class>
    
    

    
    

     
     	</listener>

spring security的配置文件中applicationContext-security.xml中引入security Namespace 
   
   

    
    

     
     <beans xmlns="http://www.springframework.org/schema/beans"
    
    

    
    

     
     xmlns:security="http://www.springframework.org/schema/security"
    
    

    
    

     
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    
    

    
    

     
     xsi:schemaLocation="http://www.springframework.org/schema/beans
    
    

    
    

     
     http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
    
    

    
    

     
     http://www.springframework.org/schema/security
    
    

    
    

     
     http://www.springframework.org/schema/security/spring-security-3.1.xsd">
    
    

    
    

     
     ...
    
    

    
    

     
     </beans>
之后可以参阅security xml schema语法,了解具体使用Namespace中的相关特性。

需要对web/http进行保护需要使用http标签,来限制访问匹配url的角色等信息 
   
   

    
    

     
     <http>
    
    

    
    

     
     <intercept-url pattern="/secure/**" access="ROLE_USER" requires-channel="https"/>
    
    

    
    

     
     <intercept-url pattern="/**" access="ROLE_USER" requires-channel="any"/>
    
    

    
    

     
     ...
    
    

    
    

     
     </http>

除此之外,如果我们需要进行方法级别的保护,需要启动相关服务,直接在利用Namespace中的如下特性。 
   
   

    
    

     
     <global-method-security secured-annotations="enabled" />
Java代码中可以使用如下注解 
   
   

    
    

     
     public interface BankService {
    
    

    
    

     
       @Secured("IS_AUTHENTICATED_ANONYMOUSLY")
    
    

    
    

     
       public Account readAccount(Long id);
    
    

    
    

     
       @Secured("IS_AUTHENTICATED_ANONYMOUSLY")
    
    

    
    

     
       public Account[] findAccounts();
    
    

    
    

     
       @Secured("ROLE_TELLER")
    
    

    
    

     
       public Account post(Account account, double amount);
    
    

    
    

     
     }

我们发现无论是保护url级别,还是方法级别保护,都需要指定相关角色,而角色前面加入了ROLE_。这是早期语法,需要利用ROLE_+角色名称。security4.0后可以直接使用角色名称。

有了这些配置后应用即得知什么角色可以访问什么资源了,但是登陆用户具体是什么角色,又是怎么确认的呢。这就涉及security的以下核心组件。

SecurityContextHolder—— 使用 ThreadLocal存储当前应用凭证详情
2. SecurityContext
3.  Authentication Objects—— Authentication对象代表当前与应用交互的凭证详情
以上三者是什么的关系,可以从如下代码段中了解。 
   
   

    
    

     
     Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
    
    

    
    

     
     if (principal instanceof UserDetails) {
    
    

    
    

     
     String username = ((UserDetails)principal).getUsername();
    
    

    
    

     
     } else {
    
    

    
    

     
     String username = principal.toString();
    
    

    
    

     
     }
其中的 principal就是 Authentication Objects, 通常它仅仅是一个对象,我们常常将其转换为UserDetail, UserDetail 以一种可扩展的和具体应用相关的方式代表着 principal (凭证)。
4.  UserDetailsService—— 提供了 loadUserByUsername 方法来加载UserDetails。
前面3个组件能够帮助我们获取用户凭证,当然也可以利用 SecurityContextHolder . getContext (). getAuthentication (). getAuthorities( ) 可以帮助我们获取具体给principal赋予的权限。但用户凭证信息和这些授权来自哪里呢,这就是第4个组件 loadUserByUsername方法所要做的事情。

在了解这些概念后,我们便可以加载用户信息,根据用户角色访问具体的资源。


shierqu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2020-11-09 Springnamespace、注解开发
qq_42531239的博客
11-09 245
.C&P namespace p命名空间 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:jee="http://www.springframework.org/schema/jee"
Spring源码总结.pdf
02-13
Spring框架是Java后端开发中不可或缺的部分,它提供了一个全面的编程和配置...通过源码学习,开发者可以更好地掌握Spring如何管理和创建Bean,以及如何利用注解进行组件扫描,这对于解决复杂问题和提升性能非常关键。
Spring3.0_命名空间 namespace 浅析
weixin_30376453的博客
07-09 75
Spring 的配置文件中,有一个配置文件头: <beans xmlns=”http://www.springframework.org/schema/beans”xsi:schemaLocation=”http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spr...
Spring namespace(命名空间)
weixin_53184944的博客
03-19 533
Spring namespace(命名空间)
Spring Namespace扩展
jloveto的专栏
08-02 2062
在日常使用spring的时候,如果我们使用基于xml的spring配置,那么不可避免的需要配置许多节点,最常见的可能是标签的配置,但除了这个之外,比如我们使用到aop的时候,可能需要配置如这样的标签节点,而在配置这个标签之前,通常我们需要引入这个aop标签所在的命名空间,如下面代码中红色加粗部分所示:  xmlns:xsi="http://www.w3.org/200
Spring常用命名空间
VincenLlin的专栏
06-13 1832
Spring常用命名空间 命名空间
spring-mybatis-spring-2.0.4.zip
最新发布
04-19
Spring提供了一个全面的编程和配置模型,它鼓励依赖注入(Dependency Injection,DI)和面向切面编程(Aspect-Oriented Programming,AOP),以实现松耦合的组件设计。而MyBatis则专注于SQL的编写,将SQL语句与Java...
Spring设值注入和构造注入(通过xml).zip
04-22
在Java后端开发中,Spring框架的依赖注入功能是核心特性之一,它极大地提高了代码的可读性和可维护性,降低了组件间的耦合。通过深入理解和熟练运用设值注入和构造注入,开发者可以更好地设计和构建松散耦合、易于...
springcloud第二天源码及资料
06-21
SpringCloud的第二天学习中,我们主要探讨的是SpringCloud的核心组件和它们的工作原理,特别是与Nacos相关的服务发现和服务配置管理。Nacos是阿里巴巴开源的一个动态配置服务、服务发现和远程调用等服务治理平台,...
spring整合mybatis的jar_spring+mybatis_
10-03
在Java开发领域,Spring框架和MyBatis是两个非常重要的组件Spring是一个全面的企业级应用框架,提供了依赖注入、AOP(面向切面编程)、事务管理等功能,而MyBatis则是一个优秀的持久层框架,它简化了SQL操作,将...
spring-扩展点-namespacehandler(Spring自定义标签)
08-13
NULL 博文链接:https://wangxinchun.iteye.com/blog/2301263
spring各种命名空间实例
07-18
spring各种命名空间实例。以及命名空间下的各元素简介
附录一 spring命名空间
自强博客
06-17 463
附录一:spring命名空间 Spring的命名空间引入: 在安装好spring的eclipse插件之后。使用【Spring Config Editor】来打开spring的xml配置文件。在打开的编辑页面的标签页中切换到Namespace,会打开如下图所示界面。把你需要引入的命名空间勾上即可。 Spring命名空间说明 命名空间 作用说明
Spring命名空间
qq_53306533的博客
12-23 1384
Spring框架中,命名空间(Namespace)是一种机制,用于将XML配置文件中的元素和属性与Java类或属性进行映射。Spring使用XML命名空间来简化配置文件的结构,使其更加易于理解和维护。每个命名空间通常对应于Spring中的一个模块或功能。通俗的来说,假设你正在组装一个多功能机器人。这个机器人有各种模块,比如行走模块、说话模块、搬运模块等。每个模块都有自己的说明书,告诉你如何安装和使用这个模块。在Spring框架中,命名空间就像是这些模块的说明书。
spring-namespace实现自己的自定义标签类
archer的技术故事
12-10 446
这篇文章介绍的是如何通过spring namespace的方式进行bean的配置 最终要达到的目的如下: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org...
Spring命名空间介绍
帅性而为1号的博客
12-14 9270
什么是spring命名空间?这个就要从XML说了,Spring的配置管理可以利用XML方式进行配置,而XML里面就有命名空间这个概念。。实际上就和标签的意思有点像 你给一个命名空间以后,这个XML文件里面就可以用那个命名空间上下文里面的标签了。简化配置用,你可以去看看Spring AOP用命名空间和不用命名空间的配置有什么区别。    xmlns:content是为引用Spring的模块功能
编写spring配置文件namespace的设置
zs1342084776的博客
12-22 866
       java eclipse中编写spring配置文件时有design和source  请问 namespace 如何设置出来?         在已经装了spring插件的情况下,右键点击你要显示的xml文件 会出来open with ---&gt;spring config editor...
spring-namespace自定义命名空间简介
archer的技术故事
12-10 958
我最开始是通过sharding-spwhere这个分库中间件知道,在做中间件的时候,最好是使用这种spring-namespace的方式进行配置。之后,在比较流行了一些java中间件中都会发现spring-namespace的影子,比如dubbo中的xml配置文件 <dubbo:application name="demo-provider"/> <dubbo:r...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值